Názory k článku Hledání škodlivého kódu mezi doplňky prohlížeče aneb odhalujeme malware

Proto je lepsi tyhle podezrele doplnky deaktivovat a zapinat jenom ve chvili, kdy jsou opravdu potreba.

A jak poznám, který doplněk je podezřelý? "Dark mode" nebo "I dont care about fucking cookies" používám pořád.

Podezřelé jsou všechny, kromě těch, o kterých vím, že podezřelé nejsou.

nóó tak třeba taková mozilla jim přiřazuje vodznáčky jestli je třeba doporučujou nebo že je ověřili a četli zdrojáček hele

kdyby pan autor misto chromu používal firefox tak by si jako moh ušetřit starosti protože by si u doplňku moh přečíst že
This add-on is not actively monitored for security by Mozilla. Make sure you trust it before installing. :D ;D

To ano, ale ani Mozilla nemůže uchránit každou verzi a není nad vlastní ověření, byť jen na možnou podezřelost.

Děkuju autorovi, taky si addony ověřuji ne ale tak sofistikovaně.
Tak jsem svoji sbírku addonů prohlédl na použité řetězce jako "atob, strreverse, decode, console.error" ani jeden z mých https://ctrlv.cz/2MpP

* atob – kóduje řetězce z base64, má řadu validních využití
* strreverse – to bylo vymyšlené jméno zřejmě jen pro tento doplněk
* console.error – to je jenom výpis na konzoli pro programátora, nedovedu si dobře představit zneužití

Hlavní podezřelá funkce zůstává `eval`. Problém je, že funkci lze maskovat – například tak, že uložím dvě proměnné, "ev" a "al" a pak je spojím a pustím na objektu `window`. Pouhé prohledání textu tak řetězec eval nenajde. Ale nechci vás děsit – někdy třeba stačí přečíst recenze uživatelů.

Firefox používám také. Mozille fandím!

Celý článek mi ihned připomněl jiný, pět let starý, který řeší něco velice podobného. (Tímto aktuální článek ale nekritizuji - nejenže hledaný viník je trochu víc ukrytý, ale především jde o téma, které je IMHO vhodné pravidelně připomínat.)

Po přečtení onoho článku jsem doposud neměl odvahu si nainstalovat jediný doplněk do prohlížeče a celkově jsem k instalaci nového SW poněkud střízlivý až paranoidní. Takže

„A jak poznám, který doplněk je podezřelý? [...]“
Jestli myslíte „poznat“ ve smyslu „vědět“, tak jedině vlastním auditem kódu při každé aktualizaci (a i tak je to spíš víra ve vlastní schopnosti, než jednoznačný, nezpochybnitelný fakt, s výjimkou triviálních případů).

V opačném případě musíte něčemu věřit - tvůrci doplňku, straně, která doplňkům rozdává nejrůznější nálepky, jiným auditorům, atd.

Já to řeším tak, že si sám pro sebe vágně vyhodnocuji pravděpodobnost, že daný SW (nejen doplněk) je rizikový a cenu za případ, že je vyhodnocení špatné. U doplňků je problém jejich možného prodeje jiné straně (vizte výše zmíněný článek), takže nemám ani chuť se tomu nějak věnovat, byť bych třeba nějaký AdBlock uvítal - zdá se mi poslední dobou, že se Youtube snaží mi jeho služby totálně znechutit reklamami a celkem se mu to daří.

pekny kus roboty, klobuk dole...

Zajimave je ze neexistuje trest pre takychto vyvojarov. To je predsa minimalne jasne porusenie GDPR. Preco nenasleduje pokuta pre takehoto vyvojara? Lebo doplnok je podpisany ale ten podpis je ako zachodovy papier. Kedy sa bude vyzadovat aby sa podpisovalo 'skutocnymi' osobnymi certifikatmi? Meno mame iba jedno, ak vas raz nachytaju, smola.

Myslíte že když nefunguje něco jako zákon na ochranu spotřebitele u software do teď, že to pro doplňky půjde hladce?

Neprokážete úmysl (dobrá, pokud je v hlavním kódu, tak asi ano). Ale co když byl malware v 3rd party knihovně a autor nem8 na to ho objevit? Máme čekat že bude všechen zdroják muset být digitálně podepsán kv;li zbavení se odpovědnosti? A pokud ano, nepovede to jen k větší míře identity fraudům?
Taková kontrolní - můj oblíbený Heartbleed - můžete po letech prokázat, že ta zranitelnost byla úmyslná, nebo naopak že šlo o nešťastnou chybu, způsobem aby to uznal soud/správní orgán? Nebo co třeba u NIST P-256?

24. 11. 2020, 11:24 editováno autorem komentáře

To zistovanie nechajme na niekoho ineho. Pokial ale nevieme ani zistit kto ten doplnok vlastne vytvoril tak to zistovanie nema ani zmysel. Niekde treba zacat a toto by bol prvy krok, inak sa nikam nepohneme.

Parádní práce, nicméně za mě zbytečné "sr..ní" se s problémem. To raději vypnu proud, vytáhnu LAN kabel a přeinstaluju celej počítač. I příroda potřebuje restart proto umíráme a rodí se noví a tak i počítač po čase je třeba očistit o blivajs. Ono aktualizace furt dokola není totéž jako čistá instalace poslední verze. To je zase moje zkušenost. Než složitě odvirovat pracovní stanici s nejistým výsledkem raději forrmat c: /y /u a pro uživatele ponaučení neklikat na kde co a nesrkat tak kdejakou flešku.

Jenže cílem není jen ten počítač vyčistit, ale zároveň prozkoumat zdroj a ještě se u toho něco naučit a dozvědět. Ani jedno z toho se vyškubnutím kabelu a přeinstalací nestane.

A potom si doinstalujete ten isty plugin a ste tam kde ste boli. A naviac my reinstaluje s LAN kabelom lebo je to jednoduchsie. A standardne nemame zapnuty autostart na flaskach.

Asi jsem nepochopil ten článek. Jak reinstalace by mohla pomoci, že ten škodlivý doplněk si již nenainstaluji? Nebo on byl neškodný a někdo (něco) jej poškodil a reinstalace to řeší? Díky za info.

Super článek, ještě by mě zajímalo:
- byla podezřelá komunikace vidět v dev tools?
- pokud ano, je vidět payload v čitelné podobě?
- možná by dev tools zobrazil přímo skript, který komunikaci provádí a celý vzorek bys odhalil "z druhé strany"?
- možná zajímavé je passive DNS z VT: https://www.virustotal.com/gui/domain/huffily.mydiaconal.com/relations

> byla podezřelá komunikace vidět v dev tools?

Byla, pokud se uživatel trefil přesně do místa a na stránku, kde ji skript na pozadí doplňku vyvolal.

> pokud ano, je vidět payload v čitelné podobě?

Žel ne.