Vlákno názorů k článku Man-in-the-browser aneb jak jsem si nechal infikovat prohlížeč od Petr Stehlík - V diskusi někteří zmínili, že jsem měl vysvětlit,...
-
Petr StehlíkZlatý podporovatelV diskusi někteří zmínili, že jsem měl vysvětlit, proč nepomohla deaktivace rozšíření a záškodná činnost pokračovala dál. To vysvětlit neumím - stejně jako neumím vysvětlit, jak je možné, že problém se objevil i dnes, dva dny po odinstalaci rozšíření.
Pravda je, že 'grep -r popupSnooze ~' vrátí jeden výsledek:
Binární soubor .cache/google-chrome/Default/Cache/data_3 odpovídá
Ale proč a jak by ten malware měl být pořád aktivní, to nechápu. Mám snad napadený samotný prohlížeč?
-
Petr StehlíkZlatý podporovatel
Díky, Loli, smazal jsem tedy ~/.config/google-chrome/Default.
Teď by bylo poměrně vtipné, kdyby v novém čistém Chrome po přihlášení ke Google účtu při automatické synchronizaci z Google Drive (nebo odkud) zpět ke mně všech nastavení došlo i k re-importu toho malware.
Ostatně dokud nebudu vědět, kde se to skutečně v Chrome ukrývalo, nebudu si ani jistý, že při synchronizaci k tomu opravdu nedošlo.
-
Petr StehlíkZlatý podporovatel
Tak situace je stále mimořádně zábavná: výchozí nastavení synchronizace je "vše včetně rozšíření". Toto nastavení lze změnit pouze poté, co se člověk přihlásí ke svému účtu - a to už je pozdě, protože to už došlo k synchronizaci všech rozšíření.
Chvíli jsem zkoušel Chrome předběhnout, ale ne - ani když to nastavení synchronizace změním okamžitě po přihlášení, Chrome si stejně za pár sekund udělá co chce, tedy dosynchronizuje si ta rozšíření. Adblock Super sice mezi nimi není, ale už ničemu nevěřím.
-
Filip JirsákStříbrný podporovatelNerozumím tomu, o co se snažíte. Když odinstalujete rozšíření, tak se informace o té odinstalaci synchronizuje, takže se to rozšíření samozřejmě samo od sebe nenainstaluje zpět. To by přece nešlo žádné rozšíření odinstalovat.
Upnul jste se na to, že nebudete důvěřovat Chrome, a přehlížíte, co vše může být napadené daleko pravděpodobněji. Tímhle způsobem vyvoláte jen spoustu ničím nepodložených fám, budete podezřívat kde co a kde koho, ale skutečného původce neobjevíte. Pokud chcete opravdu zjistit, kde je problém, začněte tím, že se podíváte na ostatní rozšíření, jaká mají práva, a tím, že se podíváte na svůj router, co tam máte za firmware a zda náhodou nemá nějakou všeobecně známou bezpečnostní díru.
-
Lol Phirae (neregistrovaný)
Zkusil bych https://www.google.com/settings/chrome/sync - Zastavit a smazat
-
Petr StehlíkZlatý podporovatel
To je dobrá rada! Díky. Mně se podle té stránky synchronizuje 6 aplikací a 1 rozšíření - bohužel ale nevím které to jsou, neboť v Chrome mám aktuálně tři rozšíření: Google Keep, Tabulky Google a neaktivní Tweetdeck by Twitter.
Podle https://chrome.google.com/webstore/user/purchases mám dokonce 9 nakoupených aplikací. Zajímavé, jak ty počty nesedí.
-
Petr StehlíkZlatý podporovatel
Povedlo se mi spolehlivě reprodukovat to nepěkné chování na třech různých počítačích, s různými verzemi Chrome, přihlášenými pod různými uživateli.
Jelikož žádný z mých 140+ IM kontaktů není zrovna online, abych je poprosil o kontrolu toho, co tu vidím, nabízím to vám, mým milým čtenářům a komentátorům.
Postup je jednoduchý: stačí navštívit web www.dilbert.com a kliknout na odkaz "8 comments" pod dnešním komiksem. Pokud jste na té stránce poprvé, tak se v novém tabu otevřou komentáře, ale v původním tabu se místo Dilberta naráz natáhne Goodgame Empire.
Tohle Goodgame Empire na mě dřív vyskakovalo náhodně i na jiných stránkách po kliku na různé normální odkazy.
Pozor: funguje to opravdu pouze napoprvé. Pak je nutno promazat profil Chrome, aby si ten reklamní systém myslel, že jste tam zase poprvé. Anebo použít Anonymní mód, v něm to funguje pokaždé.
Ve Firefoxu se to neděje.
-
Petr StehlíkZlatý podporovatel
Tak už mi to udělal i Firefox - sice naopak, tedy natáhl komentáře v hlavním tabu a otevřel vyskakovací okno s reklamním Goodgame Empire, ale aspoň se to chová stejně. Tak to su klidný...
Dokážu si představit, že to tam má Scott vestavěné jako daň za Disqus komentářový systém, i když je to docela nechutné. Anebo reklamní systémy, kterých má na Dilbertovi požehnaně, šíří i nějaký kód, který napadá Disqus komentáře tímto způsobem.
A pouze shodou náhod (protože Goodgame Empire teď nejvíc frčí) se mi to chová stejně jako když jsem měl aktivní Adblock Super malware.
-
Filip JirsákStříbrný podporovatel
Bude druhý díl článku? "Jak jsem si myslel, že mám prohlížeč infikován rozšířením Adblock Super, a bylo to něčím úplně jiným"?
-
Pavel TišnovskýZlatý podporovatelAhoj Petře,
to podle mě nemá souvislost s Chromem ani pluginy, dělá to i v Midori a dalších prohlížečích se zapnutým JS.
-
Petr StehlíkZlatý podporovatel
Ahoj Pavle, vím o tom, už jsem si to ověřil u třetích osob (takže to není u mě doma v routeru, jak měl starost pan Jirsák) a v dalších prohlížečích (takže to není nutně děravý Chrome).
Jak jsem psal už před pár příspěvky, zřejmě došlo k napadení reklamního systému a ten teď šíří podobný kód, jaký jsem měl zabudovaný přímo v tom Adblock Super, což mě kvalitně zmátlo při čištění malware popsaného v článku.
-
Lol Phirae (neregistrovaný)
A co se týká tý poctivosti, je to vždycky moc hezká věc, poněvadž s ní člověk vždycky nejdál dojde. Jako když jsou ty závody v chůzi. Jak začne fixlovat a běžet, už je distancovanej. To se stalo mýmu bratranci. Poctivej člověk je všude váženej, ctěnej, spokojenej sám sebou a cítí se jako znovuzrozenej, když jde ležet a může říct: “Dneska jsem byl zase poctivej.” „Pan polní kurát vás rekomandoval jako ohromného pitomce a myslím, že se nemýlil.“
:-D
-
Ahoj,
mě se stalo něco podobného s diskem z práce. Jen jsem jej připojil k sobě do pc (kvůli otestování rychlosti SSD, sice byl připojen v systému, ale nic jsem z něj nespouštěl) tak po cca dni začal chrome zobrazovat reklamy ze tří stran okna a první kliknutí na odkaz na stránce znamenalo otevření reklamního okna. Nechápu jak se to do toho mohlo jen tak dostat. Chrome na firemním disku byl napaden (to jsem nevěděl), ale stejně to napadlo i mě. Antivir nic, potom kombinací 3 různých odmalwarátorů to přestalo. Musím vyzdvihnout Hitman pro, ten něco našel. Po několika restartech, odinstalování chrome atd. jsem se toho zbavil. V chrome mám jen jeden doplněk, který ukazuje počet otevřených záložek. Ale na pracovním pc není ani to. Vůbec nechápu, jak se dokázal ten malware dostat ke mě a takhle se do systému zahryznout, i do pravidelně aktualizovaného prohlížeče.
Máte-li nějaké zkušenosti s tímto, ocenil bych info. Teď už chrome nevěřím, ale nenapadá mě způsob, jak bezpečně platit kartou, bankovnictví atd. Nevím jak je na tom FF, ale řekl bych, že náchylný bude podobně. IE se vyhýbám.
ČLÁNKY DO MAILU