Åtte Chrome-utvidelser som er hacket – inkludert to VPN-er!

Sikkerhetseksperter hos Proofpoint har gitt ut informasjon om et nylig hack som berørte to virtuelle private nettverk (VPN) og åtte Chrome-apper totalt. VPN-ene involvert var Betternet og TouchVPN. Det er mulig at abonnentene deres ble utsatt for ondsinnet popup og datatyveri i løpet av det mistenkte angrepet i juni.

Funnet ble gjort av Kafeine, en gruppe forskere ved cybersecurity-firmaet Proofpoint i California. Disse ekspertene oppdaget at en relativt enkel utnyttelse som involverte en phishing-ordning, hadde gitt hackere kontroll over en rekke Chrome-utviklerkontoer. Her er en fullstendig liste over alle appene som ble berørt:

  • Copyfish
  • Webutvikler
  • Chrometana 1.1.3 [kilde]
  • Infinity New Tab 3.12.3
  • Web Paint 1.2.1 [kilde]
  • Social Fixer 20.1.1 [kilde]
  • TouchVPN
  • Betternet VPN

Simple Attack Vector

I følge forskerne brukte hackerne en enkel phishing-teknikk, som omdirigerte apputviklere til en falsk kopi av innloggingssiden for Google-kontoen. På denne falske påloggingssiden ble de flettet av innloggingsdetaljene sine, og dermed ga nettkriminelle tilgang til appenes indre virkemåte. Fra Kafeine-bloggen:

"I slutten av juli og begynnelsen av august ble flere Chrome-utvidelser kompromittert etter at forfatterens Google-kontooplysninger ble stjålet via en phishing-ordning. Dette resulterte i kapring av trafikk og utsetting av brukere for potensielt ondsinnede popups og legitimasjonstyveri. "

Nyheter begynte først å sirkulere om nettangrepet 12. august, da Chris Pederick kunngjorde på Twitter at hackere hadde penetrert hans populære utvidelse, Web Developer for Chrome.

Pederick Tweet

På det tidspunktet lastet Proofpoint-forskerne ned den kompromitterte versjonen av 0.4.9 for å isolere den uærlige koden som trusselaktøren hadde injisert. Forskerne oppdaget at når den kompromitterte Chrome-utvidelsen ble installert, ventet den ti minutter før den kommuniserte via HTTPS med en ekstern kommando- og kontrollserver.

Fra den serveren injiserte cyberkriminelle mer ondsinnet kode (en fil som heter ga.js) i den kompromitterte Chrome-utvidelsen. Domenene det gjaldt var på Cloudflare, og forskerne har bemerket at de ble tatt ned umiddelbart da Proofpoint flagget dem opp.

I It for the Money

Som det oftest er tilfelle når hacking oppstår, involverte denne hendelsen kalde, harde kontanter. Hackerne brukte sin posisjon innen de åtte kompromitterte Chrome-utvidelsene for å injisere kode som la til uønsket Javascript. Som igjen lastet annonser på toppen av websidene for å lage en inntektsstrøm.

Hacking av penger

I følge forskerne var de fleste annonsesubstitusjonene de avdekket kode for, målrettet mot nettsteder for voksne, selv om det sannsynligvis er annonse på andre nettsteder..

Imidlertid fikk mange også en javascript-beskjed som informerte dem om å “reparere” PC-en sin. Ved å klikke på det offisielle utseendet varslet viderekoblede ofre til tilknyttede program-tjenester som hackerne ville tjent på. Dette var hva Kafeine-bloggen hadde å si om nettangrepet:

"Trusselaktører fortsetter å se etter nye måter å drive trafikk til tilknyttede programmer og effektivt overflate ondsinnede annonser til brukere.

"I tilfellene som er beskrevet her, utnytter de kompromitterte Chrome-utvidelser for å kapre trafikk og erstatte reklame i ofrenes nettlesere."

Det er også mulig at forbrukere led tap av data på grunn av penetrasjonen.

Betternet Logo 320 80

Betternet

For brukere av Betternet - en VPN som er kjent for å betjene sine brukere med annonser - resulterte dette i at brukere ble servert annonser av hackerne. En Betternet-bruker som gikk forbi kburton07 på nettstedet LinusTechTips, sa at han hadde våknet morgenen 25. juni til en spekter av reklame over hele Chrome:

“Så, jeg (pleide frem til i dag) bruker Betternet VPN slik at jeg kunne få tilgang til blokkerte nettsteder på college, men i dag da jeg lastet opp den bærbare datamaskinen min, hadde jeg annonser overalt.

"Jeg åpnet Chrome som gjest, og de gikk. Så naturlig nok deaktiverte jeg alle utvidelser og muliggjorde dem en etter en å finne problemet. Og til min overraskelse var det Betternet.

"Hvis du ser på anmeldelser i Chrome Nettmarked, ser alle ut til å ha det samme problemet, så hvis du har det installert, avinstaller det.

"Jeg vet ikke om det var forsettlig eller om de ble hacket, men til nå ser de ut til å ha vært anerkjente. ”

Andre Betternet-brukere rapporterte også om at Chrome hadde blitt oversvømmet av uvanlige annonser, noe som gjorde det mulig for Betternet å kartlegge problemet til Chrome-utvidelsen. Jeg kontaktet Betternet for en kommentar, og de bekreftet at de faktisk hadde lidd det dårlig publiserte hacket:

"Vi identifiserte og løste dette problemet samme dag som det skjedde, den 25. juni."

Hold deg unna VPN-er som serverer annonser

Dette fremhever nok en gang problemene med å bruke gratis VPN-er med usikre personvernregler. VPN-tjenester skal beskytte brukernes personvern. De gjør dette ved å la dem skjule sin beliggenhet, og ved å kryptere nettrafikken.

Gratis VPN-er som Betternet, HotSpot Shield, TouchVPN og mange andre spesifiserer i personvernreglene at de samler inn data fra brukerne sine for bedre å målrette annonser mot dem. Dette er svært usikkert og er motsatt av hva en VPN bør gjøre. Hele poenget med en VPN er at forbrukere skal få digitalt personvern, så bruk av en tjeneste som uttrykkelig informerer forbrukerne om policyen om at de samler inn og deler data, er intuitivt for deres formål.

adware

Dessverre er VPN-bransjen mettet av VPN-er som har dårlig praksis og bryr seg mer om penger enn deres abonnenters personvern. Det er av denne grunnen at på ProPrivacy.com vurderer vi nøye VPN-er. Det er også grunnen til at forbrukere må passe godt når de velger en VPN-leverandør.

Når det er sagt, tjener VPN-er som Betternet et formål. For mennesker med desperat behov for å omgå sensur og som ikke har råd til en bedre tjeneste, for eksempel kan disse typer gratis VPN-er være en gave. Imidlertid må forbrukerne være akutt klar over hva en VPN er og ikke gjør for dem. Ikke hver VPN ble opprettet likt, og folk som ønsker solid personvern, må tenke hardt før de nøyer seg med en dårligere tjeneste.

Til slutt er det verdt å merke seg at VPN-er som kjører som nettleserutvidelse, ikke anses som sikre som VPN-er som kjører på tilpasset VPN-programvare. Som sådan, hvis VPN-en din har en tilpasset klient, anbefaler vi å bruke den til å koble til VPN. Dette vil beskytte deg mot hendelser som i denne artikkelen. Faktisk er nettleserutvidelser et sikkerhetsmareritt generelt, så du bør alltid bruke så få som mulig - og sørge for at du bare bruker anerkjente!

Meninger er forfatterens egne.

Tittelbilde: Evan Lorne / Shutterstock.com

Bildekreditter: vectorfusionart / Shutterstock.com, Amirul Syaidi / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me