В Chrome-дополнениях NanoAdblocker и NanoDefender выявлены вредоносные изменения

16 октября 2020 года

Рэймонд Хилл (Raymond Hill), автор системы блокирования нежелательного контента uBlock Origin, обнаружил появление в опубликованных вчера выпусках Nano Defender 15.0.0.206 (Архивная копия от 15 октября 2020 на Wayback Machine) и Nano Adblocker 1.0.0.154 (Архивная копия от 26 сентября 2019 на Wayback Machine) изменений, которые можно расценивать как вредоносные. Nano Adblocker является урезанным синхронизированным ответвлением от uBlock Origin, а Nano Defender добавляет дополнительную защиту от обнаружения Nano Adblocker и uBlock Origin. NanoDefender насчитывает 200 тысяч пользователей в Chrome App Store, а NanoAdblocker - 100 тысяч.

До этого автор указанных дополнений предупредил о том, что он больше не контролирует разработку и проект передан новой команде. Из-за нехватки времени на продолжение разработки в прежнем темпе автор дополнений NanoAdblocker и NanoDefender давно искал новых сопровождающих для своего проекта и, в конце концов, продал его неизвестным.

Сопровождающий порт дополнения NanoDefender для Firеfox, после попадания основного проекта в другие руки, отказался от синхронизации кода и предложил пользователям перейти на uBlock Origin. В качестве мотивов прекращения работы над портом для Firefox упоминались явные намерения новых владельцев монетизировать проект, при отсутствии какой-либо информации о новой команде, которая ранее никак себя не проявила и не имеет следов разработки в сети.

Суть внесённых новыми разработчиками изменений в Nano Defender сводится к добавлению возможности отправки данных о любом запросе пользователя на внешний хост. При запуске дополнение загружает с хоста def.dev-nano.com структуру listOfObject, которая включает список отслеживаемых URL и используется для проверки полей объектов, передаваемых обработчиком webRequest.onBeforeSendHeaders(). При выявлении совпадений, объект handleObject, включающий детальные сведения о запросе, отправляется на хост def.dev-nano.com. Например, в listOfObject может быть передан URL банков или страниц аутентификации, и дополнение отправит на внешний хост полную информацию с содержимым всех обращений к указанным страницам.

В дополнение также добавлен код для определения активности консоли для разработчиков и отправке уведомления о попытке анализа дополнения на хост def.dev-nano.com, а также изменения поведения дополнения при включении отладочной консоли (при включении отладки handleObject перестаёт отправляться). Кроме того, в изменениях присутствует конструкция для вырезания маски "-zzz" из заголовков запроса перед их отправкой, назначение которой непонятно (возможно это заготовка для бэкдора, который планировалось включить в один из будущих выпусков).

Источники править

 
 
Creative Commons
Эта статья содержит материалы из статьи «В Chrome-дополнениях NanoAdblocker и NanoDefender выявлены вредоносные изменения», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.