HTTP Headers マルウェア騒動への反応

kobake🌘🧋 @kobake_

はてなブログに投稿しました #はてなブログ HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話… blog.clock-up.jp/entry/2016/11/… pic.twitter.com/Li6Iwehsb5

拡大

板橋佑一 @k_raito

http headersの件、会社で動きたいけど情報源がブログとツイッターだけじゃ上に説明しづらい…英語でもいいから取材したとことか、調査したセキュリティ企業ないかな…

ねくさす@たまに顔出します @nex_1006

わざわざ画像データに細工をしてるあたり確信犯(￢_￢) HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog blog.clock-up.jp/entry/2016/11/…

すもふぃ @smlfld

画像にスクリプト埋め込むマルウェアの話、オービタルクラウドで読んだな Reading: HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 blog.clock-up.jp/entry/2016/11/…

t_furu ♨ @t_furu

画像のメタにスクリプト埋め込んでダウンロードさせるのかー。面白い仕組み/HTTP Headers使ってたかなー確認しなきゃ / “HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッショ…” htn.to/S7ua7e

Kawahara Taisuke @kwhrtsk

Live HTTP Headersの方のレビューにも似たような警告があるぞ。真偽不明だけど、アイコン画像のexifに埋め込んだコード注入とか手口も似てるな。10/26の更新からかな？ / “HTTP Headers という 5万…” htn.to/2svXbSVE

ダーシノ / NES.css @bc_rikko

HTTP Headerなんてフツーだろ、何言ってんだこいつ？と思いながら記事読んだら「HTTP Headers」という真っ黒なChrome拡張だった。jsを画像ファイルに埋め込むのってわりと前に見たことあるけど、こういう使い方されるのか。勉強になる。

ぺきはん @PekinRice_qlgps

これやばいね。画像内に暗号化したプログラム仕込んでるやん / HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。: blog.clock-up.jp/entry/2016/11/…

rti @super_rti

画像の中にコードを暗号化(77 ^)して隠すのか面白いなあ・・・ / HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - blog.clock-up.jp/entry/2016/11/…

黒翼猫|ω･)｡o(100日後にInstallされるWindows 2000) @BlackWingCat

でも、画像にコードしこむのは10年以上前からある技術っすよ・ω・；QT @T_Kazahaya HTTP Headers 5万人が使っている Chrome 拡張のマルウェア疑惑 blog.clock-up.jp/entry/2016/11/… 画像内のバイナリデータにスクリプト仕込むとかすげぇ

西村誠一 @khb02323

↓HTTP Headersの件、追記 ・・・よくよく読んでみたら、HTTP Headersが一緒に提供してるアイコン画像に仕込んでるって書いてあるので、疑いの余地なく、間違いなくHTTP Headersの開発元が真っ黒って事ですよね？今回のニュース

西村誠一 @khb02323

↓・・・これは、あれか・・・HTTP Headersのソースコードにまともに盗聴ロジックを書いちゃうとChromeストアの審査に引っかかったり、（使ってる人に技術者が多いので）誰かに解析されたらバレる・・・って事で画像の中にヤバいコード仕込んだって事なのか・・・悪質だねー

atsuya 🍜ˎˊ˗ @atsuya

ブラウザで、画像のファイルからblobをjsとして作ってそれをロードする、って凄いな blog.clock-up.jp/entry/2016/11/…

(3月31日で削除) @weepjp39

雲隠れってこういう意味だったのですね。いやジョーク言うてる場合でない。。アドオン(拡張)のふりして実はマルウェアだったり、画像にコードを埋めれてたというSFチックなノンフィクション。事実は小説より奇なり。 / “H…” htn.to/JhhjgX7yK8 #微妙な例え

おかじま🍥 @okajimania

未だに画像ファイルにコード埋め込むんか… はさておき、 アップデートでマルウェア化するアプリは意外とあるのでご注意を。 根本的な疑問として、あらゆる HTTP 通信に介入するツールなんて入れるの怖いで御座るよ blog.clock-up.jp/entry/2016/11/…

🍣魂🍣 @dolpen

次にHTTP Headers作者としては、ストアに左右されない不具合のライブアップデートがしたかったって言い出す

Taku Amano @usualoma

Google Chrome の Appspector、 例の HTTP Headers と同じS3のバケットのファイルが読み込まれるようになっていて、かつ今はストアで 404 なところをみると、やっぱりそういうことなんだろうか。気をつけたほうがよさそう。

mala @bulkneets

拡張機能のやつ、coolbar proっていう拡張機能向けの収益化サービスがあってそれのjsみたいだ。invite必要でどういうサービス内容か把握できず。

mala @bulkneets

こういうの自体はよくあって昔timestatsというサービスのを調べたことがある。外部jsを動的に読み込みようなのは、そのサービスには(mozillaの審査通らないので、というのもありそう)無かった。のでマルウェア疑惑かけられても後から収集してる情報が何か確定させられるんだけど