Browser Hacking

Google jeudi supprimé Le grand porte-jarretelles, une extension Chrome populaire utilisée par des millions d’utilisateurs, depuis son Chrome Web Store pour contenir des logiciels malveillants. Il a également pris la décision inhabituelle de le désactiver des ordinateurs des utilisateurs.

« Cette extension contient des logiciels malveillants, » lis une notification laconique de Google, mais il est apparu depuis que le module complémentaire a ajouté furtivement des fonctionnalités qui pourraient être exploitées pour exécuter du code arbitraire à partir d’un serveur distant, y compris le suivi des utilisateurs en ligne et la fraude publicitaire.

« L’ancien responsable semble avoir vendu l’extension à des parties inconnues, qui ont l’intention malveillante d’exploiter les utilisateurs de cette extension dans la fraude publicitaire, le suivi, etc. », Calum McConnell m’a dit dans un message GitHub.

Auditeur De Mot De Passe

L’extension, qui comptait plus de deux millions d’installations avant d’être désactivée, suspendrait les onglets qui ne sont pas utilisés, les remplaçant par un écran gris vide jusqu’à ce qu’ils soient rechargés lors du retour aux onglets en question.

Les signes du comportement louche de l’extension circulaient depuis novembre, conduisant Microsoft à bloquer l’extension (v7.1.8) sur les navigateurs Edge en novembre dernier.

Publicité

Selon The Register, Dean Oemcke, le développeur original de l’extension, aurait vendu l’extension en juin 2020 à une entité inconnue, à la suite de quoi deux nouvelles versions ont été publiées directement aux utilisateurs via le Chrome Web Store (7.1.8 et 7.1.9).

Les utilisateurs de l’extension peuvent récupérer les onglets en utilisant une solution de contournement Ici, ou comme alternative, peut également utiliser la dernière version disponible sur GitHub (v7.1.6) en activant le mode développeur Chrome.

Mais l’activation du mode développeur peut également avoir d’autres conséquences, comme l’a révélé le chercheur en sécurité Bojan Zdrnja, qui a révélé une nouvelle méthode permettant aux acteurs de la menace d’abuser du Fonction de synchronisation Chrome pour contourner les pare-feu et établir des connexions aux serveurs contrôlés par les attaquants pour l’exfiltration des données.

Zdrnja a déclaré que l’adversaire avait créé un module complémentaire de sécurité malveillant qui se faisait passer pour Forcepoint Endpoint Chrome Extension pour Windows, qui a ensuite été installé directement sur le navigateur après l’activation du mode développeur.

« Bien qu’il existe certaines limites sur la taille des données et la quantité de requêtes, c’est en fait parfait pour les commandes C&C (qui sont généralement petites), ou pour voler des données petites mais sensibles – comme les jetons d’authentification, » Zdrnja m’a dit.

Mais étant donné que cette attaque nécessite accès physique à un système cible, il est peu probable qu’il soit résolu par Google.


Rate this post
Publicité
Article précédentQu’est-ce que Ecosia? Rencontrez une alternative à Google qui plante des arbres
Article suivantL’artbook rigide flashy de Cyberpunk 2077 est désormais à moitié prix • Fr.techtribune
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici