10周年のSPコンテンツ!

HTTP Headers マルウェア騒動への反応

Chrome 拡張の HTTP Headers がマルウェアだった件について。 Twitter の反応から得られた技術・買収・ストア体制まわりの情報をまとめました。
インターネット マルウェア HEADERS Chrome HTTP
17
概要

Chrome 拡張の HTTP Headers がマルウェアだった話。

Twitterの反応から得られた技術・買収・ストア体制まわりについてちょっとまとめました。

発端
こばやん⛅地球 @kobake_
はてなブログに投稿しました #はてなブログ HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話… blog.clock-up.jp/entry/2016/11/… pic.twitter.com/Li6Iwehsb5
拡大
被害の模様

まとめたらキリがないので省略。

悲しみのクラスタ
板橋佑一 @k_raito
http headersの件、会社で動きたいけど情報源がブログとツイッターだけじゃ上に説明しづらい…英語でもいいから取材したとことか、調査したセキュリティ企業ないかな…

IPAにも報告したのでレポート出てくると良いですね

技術の話
ねくさす @nex_1006
わざわざ画像データに細工をしてるあたり確信犯(¬_¬) HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog blog.clock-up.jp/entry/2016/11/…
すもふぃ@2月日本 @smlfld
画像にスクリプト埋め込むマルウェアの話、オービタルクラウドで読んだな Reading: HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 blog.clock-up.jp/entry/2016/11/…
t_furu ♨ #AKIあきラジオ @t_furu
画像のメタにスクリプト埋め込んでダウンロードさせるのかー。面白い仕組み/HTTP Headers使ってたかなー確認しなきゃ / “HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッショ…” htn.to/S7ua7e
Kawahara Taisuke @kwhrtsk
Live HTTP Headersの方のレビューにも似たような警告があるぞ。真偽不明だけど、アイコン画像のexifに埋め込んだコード注入とか手口も似てるな。10/26の更新からかな? / “HTTP Headers という 5万…” htn.to/2svXbSVE
ダーシノ / NES.css @bc_rikko
HTTP Headerなんてフツーだろ、何言ってんだこいつ?と思いながら記事読んだら「HTTP Headers」という真っ黒なChrome拡張だった。jsを画像ファイルに埋め込むのってわりと前に見たことあるけど、こういう使い方されるのか。勉強になる。
ぺきはん @PekinRice_qlgps
これやばいね。画像内に暗号化したプログラム仕込んでるやん / HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。: blog.clock-up.jp/entry/2016/11/…
rti @super_rti
画像の中にコードを暗号化(77 ^)して隠すのか面白いなあ・・・ / HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - blog.clock-up.jp/entry/2016/11/…
黒翼猫|ω・)。o(や、やばた2000) @BlackWingCat
でも、画像にコードしこむのは10年以上前からある技術っすよ・ω・;QT @T_Kazahaya HTTP Headers 5万人が使っている Chrome 拡張のマルウェア疑惑 blog.clock-up.jp/entry/2016/11/… 画像内のバイナリデータにスクリプト仕込むとかすげぇ
西村誠一 @khb02323
↓HTTP Headersの件、追記 ・・・よくよく読んでみたら、HTTP Headersが一緒に提供してるアイコン画像に仕込んでるって書いてあるので、疑いの余地なく、間違いなくHTTP Headersの開発元が真っ黒って事ですよね?今回のニュース
西村誠一 @khb02323
↓・・・これは、あれか・・・HTTP Headersのソースコードにまともに盗聴ロジックを書いちゃうとChromeストアの審査に引っかかったり、(使ってる人に技術者が多いので)誰かに解析されたらバレる・・・って事で画像の中にヤバいコード仕込んだって事なのか・・・悪質だねー
atsuya 🍜ˎˊ˗ @atsuya
ブラウザで、画像のファイルからblobをjsとして作ってそれをロードする、って凄いな blog.clock-up.jp/entry/2016/11/…
(3月31日で削除) @weepjp39
雲隠れってこういう意味だったのですね。いやジョーク言うてる場合でない。。アドオン(拡張)のふりして実はマルウェアだったり、画像にコードを埋めれてたというSFチックなノンフィクション。事実は小説より奇なり。 / “H…” htn.to/JhhjgX7yK8 #微妙な例え
おかじま @okajimania
未だに画像ファイルにコード埋め込むんか… はさておき、 アップデートでマルウェア化するアプリは意外とあるのでご注意を。 根本的な疑問として、あらゆる HTTP 通信に介入するツールなんて入れるの怖いで御座るよ blog.clock-up.jp/entry/2016/11/…
橡かれん🍣 @dolpen
次にHTTP Headers作者としては、ストアに左右されない不具合のライブアップデートがしたかったって言い出す
Taku AMANO @usualoma
Google Chrome の Appspector、 例の HTTP Headers と同じS3のバケットのファイルが読み込まれるようになっていて、かつ今はストアで 404 なところをみると、やっぱりそういうことなんだろうか。気をつけたほうがよさそう。
mala @bulkneets
拡張機能のやつ、coolbar proっていう拡張機能向けの収益化サービスがあってそれのjsみたいだ。invite必要でどういうサービス内容か把握できず。
mala @bulkneets
こういうの自体はよくあって昔timestatsというサービスのを調べたことがある。外部jsを動的に読み込みようなのは、そのサービスには(mozillaの審査通らないので、というのもありそう)無かった。のでマルウェア疑惑かけられても後から収集してる情報が何か確定させられるんだけど
残りを読む(57)

コメント

AtsukoOrikasa @Rutice_jp 2016年11月5日
知り合いに該当のHTTP Headersをずばり使っていた人が居たので、聞いたところ どうも、『HTTP Heades』の今回の不正コード追加(?)のアップデートのためか、最近、該当Extentionが無効化されていたそうです。
AtsukoOrikasa @Rutice_jp 2016年11月5日
Extentionの公開者なら知ってる事かもしれませんが、権限の追加などで大きな変更があると(一応)アップデート時に「この権限追加していい?」的なクッションは入りますね。 (最初から開発者がevilで、ありとあらゆる権限をつけて公開してるExtentionには無意味ですが)
𝒂𝒏𝒐𝒏 @anon5r 2016年11月5日
こういうExtension、手軽に使えるという点で便利なんだろうけど、このくらい(HTTP headersレベル)のものだったら、わざわざ拡張いれなくても標準のDevToolで充分にみられるんだけどねぇ。
ログインして広告を非表示にする
ログインして広告を非表示にする