■
HOME
■
Security
■
Software
■
Hardware
■
FPGA
■
CPU
■
Android
■
Raspberry Pi
■
nLite
■
Xcode
■
etc.
■
ALL
■
LINK
■
BACK
・
2018/09/30
Live HTTP Headersという 5万人が使っている Chrome拡張機能にマルウェア疑惑 まとめ
(Chrome Extensionの Live HTTP Headersにマルウェアの処理や CSPの無効処理が難読化されて含まれていた)
Tags: [
セキュリティ
]
● 5万人が使用している Live HTTP Headersと言う Chrome拡張にマルウェア疑惑
以前の話ですが、メモ代わりにここに記載しておきます。
2016/11/03 - HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。
clock-up-blog go-mi-tech
http-headers-archives-for-research
マルウェア疑惑ある Chrome 拡張「HTTP Headers」の調査用リポジトリです。
2016/11/04 - Chrome ExtensionのLive HTTP Headersの調査(CoolBar.Pro導入 Extensionが何を行うかの調査)
https://chrome.google.com/webstore/detail/live-http-headers/iaiioopjkcekapmldfgbebdclcnpgnlo
iaiioopjkcekapmldfgbebdclcnpgnlo
● 2018年にも 50万人利用の Google Chrome拡張機能に不正な処理
2018年01月18日 - Google Chromeの不正な拡張機能、大手組織を含む50万ユーザーが利用
January 18, 2018 - MALICIOUS CHROME EXTENSIONS ENABLE CRIMINALS TO IMPACT OVER HALF A MILLION USERS AND GLOBAL BUSINESSES
Change HTTP Request Headerと言う Chrome拡張機能に不正な処理が含まれていた。
・任意のJavaScriptを挿入して実行できる仕組み
・検出を免れるための機能
・ユーザーに広告を閲覧させて収入を稼ぐクリック詐欺
・企業のネットワークに侵入して、情報を盗むための足掛かり
他には下記の Chrome拡張機能に不正な処理が含まれていた。
・Nyoogle - Custom Logo for Google
・Lite Bookmarks
・Stickies - Chrome's Post-it Notes
● IPA Webクライアントにおけるセキュリティ対策対象レイヤ
「CSP(Contents Security Policy)」によるスクリプト動作の制限
Content Security Policy は、スクリプトのロードと実行等に強い制約を設ける機能であり、Mozilla Firefox に最初に実装された。
Webサイト側の CSPを無効化している。
●有志によるフォーラムでの脆弱性のスレッド
Video Downloader Extension: Universal XSS
この 400万人の利用者が居るビデオダウンローダの拡張プラグインに XSS(クロス サイト スクリプティング)の脆弱性が有るんじゃね?
と言っています。
Video Downloader professional
また、不正な亜種の存在も報告しています。(video-downloader-professi kmdldgcmokdpmacblnehppgkjphcbpnn 削除済み)
● Google Chromeの拡張機能の保存場所
USERPROFILE=C:\Users\
{user_name}
LOCALAPPDATA=C:\Users\
{user_name}
\AppData\Local
● Windows
C:\Users\
{user_name}
\AppData\Local\Google\Chrome\User Data\Default\Extensions
%LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions
Extensions
ディレクトリ内の英数の羅列は、Chrome ウェブストア - 拡張機能の URLの後ろの文字列と同じ。
拡張機能を一意に識別するハッシュ文字列。
例えば
uBlock Origin
の場合は、URLが
https://chrome.google.com/webstore/detail/ublock-origin/cjpalhdlnbpafiamejdnhcphjbkeiagm
で
cjpalhdlnbpafiamejdnhcphjbkeiagm
が uBlock Origin拡張機能のハッシュ文字列でディレクトリ名になる。
● macOS
/Users/
{user_name}
/Library/Application Support/Google/Chrome/Default/Extensions
Tags: [
セキュリティ
]
[HOME]
|
[BACK]
リンクフリー(連絡不要、ただしトップページ以外は Web構成の変更で移動する場合があります)
Copyright (c) 2018 FREE WING,Y.Sakamoto
Powered by
猫屋敷工房
&
HTML Generator
http://www.neko.ne.jp/~freewing/security/chrome_extension_exploit_malicious_live_http_headers/