Live HTTP Headersという 5万人が使っている Chrome拡張機能にマルウェア疑惑まとめ (Chrome Extensionの Live HTTP Headersにマルウェアの処理や CSPの無効処理が難読化されて含まれていた)

■ HOME

■ Security

■ Software

■ Hardware

■ FPGA

■ CPU

■ Android

■ Raspberry Pi

■ nLite

■ Xcode

■ etc.

■ ALL

■ LINK

■ BACK

・2018/09/30

Live HTTP Headersという 5万人が使っている Chrome拡張機能にマルウェア疑惑まとめ

(Chrome Extensionの Live HTTP Headersにマルウェアの処理や CSPの無効処理が難読化されて含まれていた)

Tags: [セキュリティ]

● 5万人が使用している Live HTTP Headersと言う Chrome拡張にマルウェア疑惑

　以前の話ですが、メモ代わりにここに記載しておきます。

2016/11/03 - HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。
　clock-up-blog go-mi-tech

http-headers-archives-for-research
　マルウェア疑惑ある Chrome 拡張「HTTP Headers」の調査用リポジトリです。

2016/11/04 - Chrome ExtensionのLive HTTP Headersの調査(CoolBar.Pro導入 Extensionが何を行うかの調査)

https://chrome.google.com/webstore/detail/live-http-headers/iaiioopjkcekapmldfgbebdclcnpgnlo
iaiioopjkcekapmldfgbebdclcnpgnlo

● 2018年にも 50万人利用の Google Chrome拡張機能に不正な処理

2018年01月18日 - Google Chromeの不正な拡張機能、大手組織を含む50万ユーザーが利用

January 18, 2018 - MALICIOUS CHROME EXTENSIONS ENABLE CRIMINALS TO IMPACT OVER HALF A MILLION USERS AND GLOBAL BUSINESSES

　Change HTTP Request Headerと言う Chrome拡張機能に不正な処理が含まれていた。
　・任意のJavaScriptを挿入して実行できる仕組み
　・検出を免れるための機能
　・ユーザーに広告を閲覧させて収入を稼ぐクリック詐欺
　・企業のネットワークに侵入して、情報を盗むための足掛かり

　他には下記の Chrome拡張機能に不正な処理が含まれていた。
　・Nyoogle - Custom Logo for Google
　・Lite Bookmarks
　・Stickies - Chrome's Post-it Notes

● IPA Webクライアントにおけるセキュリティ対策対象レイヤ

「CSP（Contents Security Policy）」によるスクリプト動作の制限
　Content Security Policy は、スクリプトのロードと実行等に強い制約を設ける機能であり、Mozilla Firefox に最初に実装された。

Webサイト側の CSPを無効化している。

●有志によるフォーラムでの脆弱性のスレッド

Video Downloader Extension: Universal XSS

　この 400万人の利用者が居るビデオダウンローダの拡張プラグインに XSS（クロスサイトスクリプティング）の脆弱性が有るんじゃね？
　と言っています。
Video Downloader professional

　また、不正な亜種の存在も報告しています。（video-downloader-professi kmdldgcmokdpmacblnehppgkjphcbpnn 削除済み）

● Google Chromeの拡張機能の保存場所

USERPROFILE=C:\Users\{user_name}
LOCALAPPDATA=C:\Users\{user_name}\AppData\Local

● Windows
C:\Users\{user_name}\AppData\Local\Google\Chrome\User Data\Default\Extensions
%LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions

Extensions
　ディレクトリ内の英数の羅列は、Chrome ウェブストア - 拡張機能の URLの後ろの文字列と同じ。
　拡張機能を一意に識別するハッシュ文字列。

　例えば
uBlock Origin の場合は、URLが
https://chrome.google.com/webstore/detail/ublock-origin/cjpalhdlnbpafiamejdnhcphjbkeiagm
　で
cjpalhdlnbpafiamejdnhcphjbkeiagm
　が uBlock Origin拡張機能のハッシュ文字列でディレクトリ名になる。

● macOS
/Users/{user_name}/Library/Application Support/Google/Chrome/Default/Extensions

Tags: [セキュリティ]

[HOME] | [BACK]

リンクフリー(連絡不要、ただしトップページ以外は Web構成の変更で移動する場合があります)
Copyright (c) 2018 FREE WING,Y.Sakamoto
Powered by 猫屋敷工房 & HTML Generator

http://www.neko.ne.jp/~freewing/security/chrome_extension_exploit_malicious_live_http_headers/

Live HTTP Headersという 5万人が使っている Chrome拡張機能にマルウェア疑惑 まとめ

Live HTTP Headersという 5万人が使っている Chrome拡張機能にマルウェア疑惑まとめ