More

    Adblockers instalados 300.000 vezes são maliciosos e devem ser removidos agora


    Getty Images

    As extensões de Adblocking com mais de 300.000 usuários ativos têm enviado sub-repticiamente dados de navegação do usuário e adulterado as contas de mídia social dos usuários, graças ao malware que seu novo proprietário introduziu há algumas semanas, de acordo com análises técnicas e postagens no Github.

    Cyril Gorlla

    Hugo Xu, desenvolvedor das extensões Nano Adblocker e Nano Defender, disse há 17 dias que não tinha mais tempo para manter o projeto e vendeu os direitos das versões disponíveis na Chrome Web Store do Google. Xu me disse que o Nano Adblocker e o Nano Defender, que muitas vezes são instalados juntos, têm cerca de 300.000 instalações no total.

    Quatro dias atrás, Raymond Hill, criador da extensão uBlock Origin na qual o Nano Adblocker é baseado, revelou que os novos desenvolvedores lançaram atualizações que adicionam código malicioso.

    A primeira coisa que Hill percebeu que a nova extensão estava fazendo foi verificar se o usuário havia aberto o console do desenvolvedor. Se foi aberto, a extensão enviou um arquivo intitulado “relatório” para um servidor em https://def.dev-nano.com/. “Em palavras simples, a extensão verifica remotamente se você está usando as ferramentas de desenvolvimento de extensão – que é o que você faria se quisesse descobrir o que a extensão está fazendo”, escreveu ele.

    A mudança mais óbvia que os usuários finais notaram foi que os navegadores infectados estavam emitindo curtidas automaticamente para um grande número de postagens do Instagram, sem entrada dos usuários. Cyril Gorlla, pesquisador de inteligência artificial e aprendizado de máquina da Universidade da Califórnia em San Diego, me disse que seu navegador gostou de mais de 200 imagens de uma conta do Instagram que não seguia ninguém. A captura de tela à direita mostra algumas das fotos envolvidas.

    Nano Adblocker e Nano Defender não são as únicas extensões que foram relatadas para adulterar contas do Instagram. O User Agent Switcher, uma extensão que tinha mais de 100.000 usuários ativos até que o Google a removeu no início deste mês, teria feito a mesma coisa.

    Muitos usuários da extensão Nano neste fórum relataram que seus navegadores infectados também estavam acessando contas de usuário que ainda não estavam abertas em seus navegadores. Isso levou à especulação de que as extensões atualizadas estão acessando cookies de autenticação e os usando para obter acesso às contas de usuário. Hill disse que revisou parte do código adicionado e descobriu que ele estava carregando dados.

    “Como o código adicionado foi capaz de coletar cabeçalhos de solicitação em tempo real (por meio de conexão de websocket, eu acho), isso significa que informações confidenciais, como cookies de sessão, podem vazar”, escreveu ele em uma mensagem. “Não sou um especialista em malware, então não posso inventar * tudo * o que é possível ao ter acesso em tempo real para solicitar cabeçalhos, mas eu entendo que é muito ruim.”

    Outros usuários relataram que outros sites além do Instagram também estavam sendo acessados ​​e adulterados, em alguns casos, mesmo quando o usuário não tinha acessado o site, mas essas afirmações não puderam ser verificadas imediatamente.

    Alexei, um tecnólogo sênior da Electronic Frontier Foundation que trabalha na extensão do Privacy Badger, tem acompanhado as discussões e me forneceu a seguinte sinopse:

    O ponto principal é que as extensões do Nano foram atualizadas para enviar sub-repticiamente os seus dados de navegação de uma forma configurável remotamente. Configurável remotamente significa que não houve necessidade de atualizar as extensões para modificar a lista de sites cujos dados seriam roubados. Na verdade, a lista de sites é desconhecida no momento, pois foi configurada remotamente. No entanto, existem muitos relatos de contas de usuários do Instagram afetadas.

    As evidências coletadas até o momento mostram que as extensões estão enviando dados do usuário secretamente e obtendo acesso não autorizado a pelo menos um site, o que viola os termos de serviço do Google e possivelmente as leis aplicáveis. O Google já removeu as extensões da Chrome Web Store e emitiu um aviso de que não são seguras. Qualquer pessoa que tiver uma dessas extensões instaladas deve removê-las de suas máquinas imediatamente.


    Artigos Recentes

    É assim que vamos nos fundir com a IA

    A relação entre humanos e IA é uma espécie de dança. Nós e a IA nos aproximamos operando de forma colaborativa, então...

    Miniusuários do Apple HomePod com problemas graves de Wi-Fi

    Alguns usuários do Apple HomePod mini estão relatando um problema com a conectividade Wi-Fi, com apenas uma correção temporária em jogo. Um tópico nos...

    A tecnologia está transformando o setor de seguros

    A indústria de seguros, por muito tempo, foi impulsionada por modelos de negócios tradicionais. Ela continuou seu processo de negócios e produtos...

    A promessa e o desafio do futuro da Roblox na China

    Em uma mudança muito esperada, a empresa de jogos Roblox, com sede na Califórnia arquivado para ir a público na semana passada....

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui