HOME
  Security
   Software
    Hardware
  
FPGA
  CPU
   Android
    Raspberry Pi
  
nLite
  Xcode
   etc.
    ALL
  
English Translate 中文翻訳
LINK
BACK
 

[NEW] 2018/09/30

Live HTTP Headersという 5万人が使っている Chrome拡張機能にマルウェア疑惑 まとめ Live HTTP Headersという 5万人が使っている Chrome拡張機能にマルウェア疑惑 まとめ

(Chrome Extensionの Live HTTP Headersにマルウェアの処理や CSPの無効処理が難読化されて含まれていた)

Tags: [セキュリティ]





● 5万人が使用している Live HTTP Headersと言う Chrome拡張にマルウェア疑惑

 以前の話ですが、メモ代わりにここに記載しておきます。

2016/11/03 - HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。
 clock-up-blog go-mi-tech

http-headers-archives-for-research
 マルウェア疑惑ある Chrome 拡張「HTTP Headers」の調査用リポジトリです。

2016/11/04 - Chrome ExtensionのLive HTTP Headersの調査(CoolBar.Pro導入 Extensionが何を行うかの調査)

https://chrome.google.com/webstore/detail/live-http-headers/iaiioopjkcekapmldfgbebdclcnpgnlo
iaiioopjkcekapmldfgbebdclcnpgnlo


● 2018年にも 50万人利用の Google Chrome拡張機能に不正な処理

2018年01月18日 - Google Chromeの不正な拡張機能、大手組織を含む50万ユーザーが利用

January 18, 2018 - MALICIOUS CHROME EXTENSIONS ENABLE CRIMINALS TO IMPACT OVER HALF A MILLION USERS AND GLOBAL BUSINESSES

 Change HTTP Request Headerと言う Chrome拡張機能に不正な処理が含まれていた。
 ・任意のJavaScriptを挿入して実行できる仕組み
 ・検出を免れるための機能
 ・ユーザーに広告を閲覧させて収入を稼ぐクリック詐欺
 ・企業のネットワークに侵入して、情報を盗むための足掛かり

 他には下記の Chrome拡張機能に不正な処理が含まれていた。
 ・Nyoogle - Custom Logo for Google
 ・Lite Bookmarks
 ・Stickies - Chrome's Post-it Notes

● IPA Webクライアントにおけるセキュリティ対策対象レイヤ

「CSP(Contents Security Policy)」によるスクリプト動作の制限
 Content Security Policy は、スクリプトのロードと実行等に強い制約を設ける機能であり、Mozilla Firefox に最初に実装された。

Webサイト側の CSPを無効化している。

● Google Chromeの拡張機能の保存場所

USERPROFILE=C:\Users\{user_name}
LOCALAPPDATA=C:\Users\{user_name}\AppData\Local

● Windows
C:\Users\{user_name}\AppData\Local\Google\Chrome\User Data\Default\Extensions
%LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions

Extensions
 ディレクトリ内の英数の羅列は、Chrome ウェブストア - 拡張機能の URLの後ろの文字列と同じ。
 拡張機能を一意に識別するハッシュ文字列。

 例えば
uBlock Origin の場合は、URLが
https://chrome.google.com/webstore/detail/ublock-origin/cjpalhdlnbpafiamejdnhcphjbkeiagm
 で
cjpalhdlnbpafiamejdnhcphjbkeiagm
 が uBlock Origin拡張機能のハッシュ文字列でディレクトリ名になる。

● macOS
/Users/{user_name}/Library/Application Support/Google/Chrome/Default/Extensions



Tags: [セキュリティ]


[HOME] | [BACK]
リンクフリー(連絡不要、ただしトップページ以外はweb構成の変更で移動する場合があります)
Copyright (c) 2018 FREE WING, Y.Sakamoto
Powered by 猫屋敷工房 & HTML Generator

http://www.neko.ne.jp/~freewing/security/chrome_extension_exploit_malicious_live_http_headers/