Gli adblocker installati 300.000 volte sono dannosi e dovrebbero essere rimossi ora

413

Getty Images

Le estensioni di blocco degli annunci con oltre 300.000 utenti attivi hanno caricato di nascosto i dati di navigazione degli utenti e hanno manomesso gli account dei social media degli utenti grazie al malware introdotto dal suo nuovo proprietario poche settimane fa, secondo analisi tecniche e post su Github.

Cyril Gorlla

Hugo Xu, sviluppatore delle estensioni Nano Adblocker e Nano Defender, ha dichiarato 17 giorni fa di non avere più il tempo di mantenere il progetto e di aver venduto i diritti per le versioni disponibili nel Chrome Web Store di Google. Xu mi ha detto che Nano Adblocker e Nano Defender, che spesso vengono installati insieme, hanno un totale di circa 300.000 installazioni.

Quattro giorni fa, Raymond Hill, creatore dell'estensione uBlock Origin su cui si basa Nano Adblocker, ha rivelato che i nuovi sviluppatori avevano implementato aggiornamenti che aggiungevano codice dannoso.

La prima cosa che Hill ha notato con la nuova estensione è stato controllare se l'utente avesse aperto la console per sviluppatori. Se è stata aperta, l'estensione ha inviato un file denominato "report" a un server all'indirizzo https://def.dev-nano.com/. "In parole semplici, l'estensione controlla in remoto se stai utilizzando gli strumenti di sviluppo delle estensioni, che è quello che faresti se volessi scoprire cosa sta facendo l'estensione", ha scritto.

Il cambiamento più evidente che gli utenti finali hanno notato è che i browser infetti emettevano automaticamente Mi piace per un gran numero di post di Instagram, senza alcun input da parte degli utenti. Cyril Gorlla, un ricercatore di intelligenza artificiale e apprendimento automatico presso l'Università della California a San Diego, mi ha detto che al suo browser sono piaciute più di 200 immagini da un account Instagram che non seguiva nessuno. Lo screenshot a destra mostra alcune delle foto coinvolte.

Nano Adblocker e Nano Defender non sono le uniche estensioni segnalate per manomettere gli account Instagram. User Agent Switcher, un'estensione che aveva più di 100.000 utenti attivi fino a quando Google non l'ha rimossa all'inizio di questo mese, si dice che abbia fatto la stessa cosa.

Molti utenti dell'estensione Nano in questo forum hanno riferito che i loro browser infetti stavano accedendo anche ad account utente che non erano già aperti nei loro browser. Ciò ha portato a ipotizzare che le estensioni aggiornate accedano ai cookie di autenticazione e li utilizzino per accedere agli account utente. Hill ha detto di aver esaminato parte del codice aggiunto e ha scoperto che stava caricando dati.

"Poiché il codice aggiunto è stato in grado di raccogliere le intestazioni delle richieste in tempo reale (tramite una connessione websocket immagino), ciò significa che potrebbero essere trapelate informazioni sensibili come i cookie di sessione", ha scritto in un messaggio. "Non sono un esperto di malware, quindi non riesco a trovare * tutto * ciò che è possibile quando si ha accesso in tempo reale alle intestazioni delle richieste, ma capisco che è davvero pessimo."

Altri utenti hanno riferito che anche siti diversi da Instagram venivano acceduti e manomessi, in alcuni casi, anche quando l'utente non aveva effettuato l'accesso al sito, ma queste affermazioni non potevano essere verificate immediatamente.

Alexei, un tecnologo dello staff senior della Electronic Frontier Foundation che lavora all'estensione Privacy Badger, ha seguito le discussioni e mi ha fornito la seguente sinossi:

Il succo è che le estensioni Nano sono state aggiornate per caricare surrettiziamente i tuoi dati di navigazione in un modo configurabile da remoto. Configurabile in remoto significa che non era necessario aggiornare le estensioni per modificare l'elenco dei siti Web i cui dati sarebbero stati rubati. In effetti, l'elenco dei siti Web è sconosciuto in questo momento poiché è stato configurato in remoto. Tuttavia, ci sono molti rapporti sugli account Instagram degli utenti interessati.

Le prove raccolte fino ad oggi mostrano che le estensioni caricano di nascosto i dati degli utenti e ottengono l'accesso non autorizzato ad almeno un sito Web, in violazione dei termini di servizio di Google e molto probabilmente delle leggi applicabili. Google ha già rimosso le estensioni dal Chrome Web Store e ha emesso un avviso che non sono sicure. Chiunque abbia installato una di queste estensioni dovrebbe rimuoverle immediatamente dai propri computer. Annuncio pubblicitario

Nano Adblocker e Nano Defender sono disponibili negli store di estensioni ospitati da Firefox e Microsoft Edge. Xu e altri affermano che nessuna delle estensioni disponibili in queste altre località è interessata. L'avvertenza è che Edge può installare estensioni dal Chrome Web Store. Tutti gli utenti Edge che hanno utilizzato questa fonte sono infetti e dovrebbero rimuovere le estensioni.

La possibilità che le estensioni abbiano caricato cookie di sessione significa che chiunque sia stato infettato dovrebbe almeno disconnettersi completamente da tutti i siti. Nella maggior parte dei casi ciò dovrebbe invalidare i cookie di sessione e impedire a chiunque di utilizzarli per ottenere accessi non autorizzati. Gli utenti veramente paranoici vorranno cambiare le password solo per essere al sicuro.

L'incidente è l'ultimo esempio di qualcuno che acquisisce un'estensione del browser consolidata o un'app Android e la utilizza per infettare la vasta base di utenti che l'ha già installata. È difficile fornire consigli utili per prevenire questo tipo di abuso. Le estensioni Nano non erano un'operazione fly-by-night. Gli utenti avevano tutte le ragioni per credere di essere al sicuro fino a quando, ovviamente, non era più così. Il miglior consiglio è rivedere regolarmente le estensioni installate. Quelli che non sono più utili devono essere rimossi.