Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。
編集可能

HTTP Headers マルウェア騒動への反応

Chrome 拡張の HTTP Headers がマルウェアだった件について。 Twitter の反応から得られた技術・買収・ストア体制まわりの情報をまとめました。
17

概要

Chrome 拡張の HTTP Headers がマルウェアだった話。

Twitterの反応から得られた技術・買収・ストア体制まわりについてちょっとまとめました。

発端

kobake🌘🧋 @kobake_

はてなブログに投稿しました #はてなブログ HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話… blog.clock-up.jp/entry/2016/11/… pic.twitter.com/Li6Iwehsb5

2016-11-03 03:25:28
拡大

被害の模様

まとめたらキリがないので省略。

悲しみのクラスタ

板橋佑一 @k_raito

http headersの件、会社で動きたいけど情報源がブログとツイッターだけじゃ上に説明しづらい…英語でもいいから取材したとことか、調査したセキュリティ企業ないかな…

2016-11-04 10:21:14

IPAにも報告したのでレポート出てくると良いですね

技術の話

ねくさす @nex_1006

わざわざ画像データに細工をしてるあたり確信犯(¬_¬) HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog blog.clock-up.jp/entry/2016/11/…

2016-11-03 08:38:28
すもふぃ @smlfld

画像にスクリプト埋め込むマルウェアの話、オービタルクラウドで読んだな Reading: HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 blog.clock-up.jp/entry/2016/11/…

2016-11-03 08:42:49
t_furu ♨ @t_furu

画像のメタにスクリプト埋め込んでダウンロードさせるのかー。面白い仕組み/HTTP Headers使ってたかなー確認しなきゃ / “HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッショ…” htn.to/S7ua7e

2016-11-03 08:48:59
Kawahara Taisuke @kwhrtsk

Live HTTP Headersの方のレビューにも似たような警告があるぞ。真偽不明だけど、アイコン画像のexifに埋め込んだコード注入とか手口も似てるな。10/26の更新からかな? / “HTTP Headers という 5万…” htn.to/2svXbSVE

2016-11-03 09:29:43
ダーシノ / NES.css @bc_rikko

HTTP Headerなんてフツーだろ、何言ってんだこいつ?と思いながら記事読んだら「HTTP Headers」という真っ黒なChrome拡張だった。jsを画像ファイルに埋め込むのってわりと前に見たことあるけど、こういう使い方されるのか。勉強になる。

2016-11-03 10:20:13
ぺきはん @PekinRice_qlgps

これやばいね。画像内に暗号化したプログラム仕込んでるやん / HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。: blog.clock-up.jp/entry/2016/11/…

2016-11-03 11:13:33
rti @super_rti

画像の中にコードを暗号化(77 ^)して隠すのか面白いなあ・・・ / HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - blog.clock-up.jp/entry/2016/11/…

2016-11-03 11:21:01
黒翼猫|ω・)。o(ウインドウシ2000) @BlackWingCat

でも、画像にコードしこむのは10年以上前からある技術っすよ・ω・;QT @T_Kazahaya HTTP Headers 5万人が使っている Chrome 拡張のマルウェア疑惑 blog.clock-up.jp/entry/2016/11/… 画像内のバイナリデータにスクリプト仕込むとかすげぇ

2016-11-03 11:40:06
西村誠一 @khb02323

↓HTTP Headersの件、追記 ・・・よくよく読んでみたら、HTTP Headersが一緒に提供してるアイコン画像に仕込んでるって書いてあるので、疑いの余地なく、間違いなくHTTP Headersの開発元が真っ黒って事ですよね?今回のニュース

2016-11-03 11:49:29
西村誠一 @khb02323

↓・・・これは、あれか・・・HTTP Headersのソースコードにまともに盗聴ロジックを書いちゃうとChromeストアの審査に引っかかったり、(使ってる人に技術者が多いので)誰かに解析されたらバレる・・・って事で画像の中にヤバいコード仕込んだって事なのか・・・悪質だねー

2016-11-03 11:51:25
atsuya 🍜ˎˊ˗ @atsuya

ブラウザで、画像のファイルからblobをjsとして作ってそれをロードする、って凄いな blog.clock-up.jp/entry/2016/11/…

2016-11-03 14:05:32
(3月31日で削除) @weepjp39

雲隠れってこういう意味だったのですね。いやジョーク言うてる場合でない。。アドオン(拡張)のふりして実はマルウェアだったり、画像にコードを埋めれてたというSFチックなノンフィクション。事実は小説より奇なり。 / “H…” htn.to/JhhjgX7yK8 #微妙な例え

2016-11-03 14:39:34
おかじま @okajimania

未だに画像ファイルにコード埋め込むんか… はさておき、 アップデートでマルウェア化するアプリは意外とあるのでご注意を。 根本的な疑問として、あらゆる HTTP 通信に介入するツールなんて入れるの怖いで御座るよ blog.clock-up.jp/entry/2016/11/…

2016-11-04 10:01:28
橡かれん🍣 @dolpen

次にHTTP Headers作者としては、ストアに左右されない不具合のライブアップデートがしたかったって言い出す

2016-11-03 11:54:01
Taku Amano @usualoma

Google Chrome の Appspector、 例の HTTP Headers と同じS3のバケットのファイルが読み込まれるようになっていて、かつ今はストアで 404 なところをみると、やっぱりそういうことなんだろうか。気をつけたほうがよさそう。

2016-11-03 16:20:02
mala @bulkneets

拡張機能のやつ、coolbar proっていう拡張機能向けの収益化サービスがあってそれのjsみたいだ。invite必要でどういうサービス内容か把握できず。

2016-11-03 21:02:31
mala @bulkneets

こういうの自体はよくあって昔timestatsというサービスのを調べたことがある。外部jsを動的に読み込みようなのは、そのサービスには(mozillaの審査通らないので、というのもありそう)無かった。のでマルウェア疑惑かけられても後から収集してる情報が何か確定させられるんだけど

2016-11-03 21:06:57
残りを読む(57)

コメント

AtsukoOrikasa @Rutice_jp 2016年11月5日
知り合いに該当のHTTP Headersをずばり使っていた人が居たので、聞いたところ どうも、『HTTP Heades』の今回の不正コード追加(?)のアップデートのためか、最近、該当Extentionが無効化されていたそうです。
0
AtsukoOrikasa @Rutice_jp 2016年11月5日
Extentionの公開者なら知ってる事かもしれませんが、権限の追加などで大きな変更があると(一応)アップデート時に「この権限追加していい?」的なクッションは入りますね。 (最初から開発者がevilで、ありとあらゆる権限をつけて公開してるExtentionには無意味ですが)
2
PUIPUI anocar🐹🚗 @anon5r 2016年11月5日
こういうExtension、手軽に使えるという点で便利なんだろうけど、このくらい(HTTP headersレベル)のものだったら、わざわざ拡張いれなくても標準のDevToolで充分にみられるんだけどねぇ。
0