HTTP Headers マルウェア騒動への反応
-
- いいね!18
mala
@bulkneets
アドウェア、PUP、に該当するのは確かだろうけどマルウェアかどうかは判別つかないな。tab managerで動的にダウンロードしてるjsにはcookie取得やキーロガーは入っていない。
2016-11-03 21:21:50
mala
@bulkneets
書いた Chrome ExtensionのLive HTTP Headersの調査(CoolBar.Pro導入 Extensionが何を行うかの調査) gist.github.com/mala/e87973df5…
2016-11-04 14:45:00レポートありがとうございます
kyo_ago
@kyo_ago
httponlyついててもExtensionならwebRequest APIで取れる気がする(特に今回の場合HTTP HeaderいじるExtensionだったから追加権限も不要だし) // Zaif のセッション情報が盗まれた blog.clock-up.jp/entry/2016/11/…
2016-11-04 11:45:06
mala
@bulkneets
@kyo_ago その部分気になったので調べた gist.github.com/mala/e87973df5… Zaifについては全部じゃないけどログインに必要なcookieはhttponly昨日の時点でついてた
2016-11-04 15:05:05
mala
@bulkneets
CSP無効化するのにwebRequestBlocking (header書き換えも含めた操作) permissionがいるので、CSPが使われてるサイトでも動作させることを考えるとwebRequestBlocking使ってるextensionが狙われやすい(高く売れる)のかも
2016-11-04 15:12:57
mala
@bulkneets
CSP無効化していることに対してマルウェアだと言っているのであって、cookie盗んだりするかどうかは不明だし証拠ないし言及してないからね、念のため。保全してあるのはtab managerのもので軽くしか調べてない twitter.com/bulkneets/stat…
2016-11-04 16:16:46
田中実(28歳、マッドシティ在住)インフルエンサー
@k4403
HTTP Headersのコードインジェクションの件,かなりヤバイね.画像ファイルは再圧縮するとか,別のファイルフォーマットに変換してから元のフォーマットに戻すとかをストア側がやらないとダメなんちがいますのん・・・
2016-11-04 14:55:21それな
Kiyoshi SATOH
@stealthinu
例のChromeのLive HTTP Headersのマルウェアコード読み込みについてmalaさんの調査。やっぱ黒だろこれという結果。アップデートしてからすぐにじゃなく一定時間後に画像から外部スクリプト読み込みなど巧妙になってる。 htn.to/vJPvMV
2016-11-04 15:04:08
mala
@bulkneets
サイト側のCSP書き換えてる=マルウェアって言ってしまうとそれはそれで判断が難しい。これCSP緩めている github.com/Tampermonkey/t… 他のextensionと干渉するってバグが立ってた bugs.chromium.org/p/chromium/iss…
2016-11-04 22:33:30
mala
@bulkneets
ユーザーが望んだ機能を追加するためにサイト側の設定を上書きする(CSPを無視する) のは出来てしかるべきなので、拡張機能にはその権限があるべき。なんだけど、トラッキングとかアフィリエイトとか仕込むために(しかもユーザーに一切説明がない)CSP無効化してるのは完全にダメ。マルウェア
2016-11-04 22:36:16
mala
@bulkneets
過去にトラッキングとかアフィリエイト仕込んだりするのがデフォルトで有効化されててマルウェア扱いされた事例は多数あるけど、coolbar proのは規約表示とかそもそも動いてないし、偽装の仕方もおかしいし(まともな収益化サポートサービスなら隠す必要ない) 少なくともまともではない。
2016-11-04 22:48:44
mala
@bulkneets
chrome extensionのtab manager, 画像からscript読み込む処理がないので最新版では含まれてないのかなーと思いきや、jquery-2.2.2.min.js というファイルの中に難読化されたjsが紛れ込んでいる
2016-11-04 23:32:54
mala
@bulkneets
埋め込み方法にバリエーションがあることがわかったし、時間差で実行するのもやってる(検証環境で実行して検出するのを騙すようなやつ) まあ単純に検出できるような話ではないですね。Googleを悪く言うのはやめましょう。
2016-11-04 23:37:24
kobake🌘🧋
@kobake_
HTTP Headersの旧バージョンのアーカイブ手に入ったので差分比較用にGitHubリポジトリ立てました。 github.com/kobake/http-he… バージョン間の差分が分かるようにコミットしてあります。調査したい人は調査してみてください。僕はちょっと疲れたので休みます pic.twitter.com/Ncz7xOmMdf
2016-11-05 02:29:23
拡大
ぶれ(ン)/b13t
@__Bren
chromeのdns cacheに s3.eu-central-1 がなけりゃchrome拡張のhttp headersにやられてないって判断でいいもんかね
2016-11-05 10:05:10具体的な買収の話
kusanoさん@がんばらない
@kusano_k
以前に「Chrome拡張の買い取りを持ちかけられた」というツイートを見て、広告でも貼るのかと思ったけど、こういう使い方をするのだろうか。 HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セ… blog.clock-up.jp/entry/2016/11/…
2016-11-03 21:04:16
kyo_ago
@kyo_ago
ユーザ数多いと買収額も上がるので注意。ちなみに9万ユーザの時点で60万円でどうって言われました(「いくらなら売る?」とか書かれてたのでそっから交渉開始って感じだったけど) // HTTP Headers という 5万人が使っている blog.clock-up.jp/entry/2016/11/…
2016-11-04 11:49:00最高に具体的な話
買収とか業者とかの話
kn
@sky_graph
広義のソーシャルハックになるのかね>有名拡張機能を買収→マルウェア化/閲覧と買い物用でブラウザを分けて対応してる人もいるみたいだ。 / “HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。…” htn.to/QJoUTM
2016-11-03 11:26:28
🍣の王
@refeia
「有名な拡張機能を買収→マルウェア化という話は時々聞きます 」 - はてなブックマーク - HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑 - b.hatena.ne.jp/entry/blog.clo…
2016-11-03 12:24:49