×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Chrome-extensie voor ontwikkelaars bevatte kortstondig kwaadaardige code

Door , 52 reacties, submitter: Nutellaah

De Chrome-extensie Web Developer bevatte kortstondig kwaadaardige code, nadat onbekenden toegang hadden verkregen tot het Gmail-account van de ontwikkelaar. Er is inmiddels een update beschikbaar waarin de code is verwijderd. De extensie was ongeveer drie uur lang besmet.

Ontwikkelaar Chris Pederick waarschuwde op Twitter dat zijn extensie van een kwaadaardige update was voorzien, nadat onbekenden zijn account hadden overgenomen via phishing. De versie met de aangepaste code was 0.4.9; inmiddels heeft Pederick versie 0.5 vrijgegeven die volgens hem veilig is.

De extensie in kwestie heeft ongeveer 1 miljoen gebruikers. De Firefox-extensie is niet getroffen, aldus de ontwikkelaar. Hij deelde een voorbeeld van de kwaadaardige code die hij in de Chrome-extensie tegenkwam. Die lijkt specifiek uit te zijn op Cloudflare-api's, maar het is onduidelijk of dat bij Web Developer ook het geval was. Er zouden geen tekenen zijn dat wachtwoorden zijn onderschept, maar gebruikers meldden wel dat zij advertenties te zien kregen.

Eerder deze week waarschuwden de ontwikkelaars achter de Chrome-extensie CopyFish dat hen iets soortgelijks was overkomen. Op vrijdag werden ze eveneens slachtoffer van een phishingpoging, waardoor het wachtwoord van hun ontwikkelaarsaccount in verkeerde handen viel. Daarna werd de extensie door onbekenden naar een ander account verplaatst en verspreidde de software spam en adware. Inmiddels is de extensie weer in handen van de oorspronkelijke eigenaren, maar Google heeft het ontwikkelaarsaccount ingetrokken en de extensie is niet meer beschikbaar.

Op Hacker News gingen berichten dat ook andere Chrome-extensies verdacht gedrag vertoonden, waaronder User Agent Switcher, die eveneens wordt ontwikkeld door Pederick. Populaire extensies zijn een aantrekkelijk doelwit voor kwaadwillenden, omdat daarmee een groot aantal gebruikers te bereiken is.

Door Sander van Voorst

Nieuwsredacteur

03-08-2017 • 10:57

52 Linkedin Google+

Submitter: Nutellaah

Reacties (52)

Wijzig sortering
En dit had dus simpel voorkomen kunnen worden als die ontwikkelaars 2 Factor Authentication aan hadden staan... Eigenlijk moet Google dat als verplichting eisen voor ontwikkelaars omdat je met een simpel wachtwoord in dit geval dus 1 miljoen gebruikers kunt bereiken.
Niet alleen voor ontwikkelaars. Gewoon voor iedereen :)
Ik heb echt niet overal 2 factor nodig. Ik heb liever niet dat allerlei partijen mijn telefoonnummer hebben omdat een aantal mensen te dom zijn om een beetje fatsoenlijk met hun wachtwoorden om te gaan.

edit: typo

[Reactie gewijzigd door batjes op 3 augustus 2017 15:39]

2 factor authentication hoeft niet altijd via een mobiel telefoonnummer te lopen uiteraard.
Een app heeft ook zonder al te veel moeite je mobiele nummer te pakken. En doorgaans is het zo "rechten weigeren? Jij geen toegang tot app krijgen".
Facebook zeurt er geregeld om maar heeft nog steeds mijn mobiele nummer niet. Toch draait het gewoon. Ik heb maar zelden meegemaakt dat rechten weigeren problemen gaf.
Als je whatsapp gebruikt hebben ze het wel en kunnen ze wel zien vanaf welke telefoon je whatsappt en facebookt. Een puzzel hoeft niet compleet te zijn om de ontbrekende sturen te laten raden.
en kunnen ze wel zien vanaf welke telefoon je whatsappt en facebookt.
Identification is zo'n beetje het eerste recht dat ik via Xposed heb dichtgezet voor Facebook en WhatsApp. En dat werkt, want ik heb het eens dichtgezet vooreen programma dat het wel nodig had (Flitsnav omdat ze daarmee kijken of iemand te vaak valse meldingen geeft) en dat werkte meteen niet meer.
Inderdaad. Gegeven het feit dat zo goed als iedereen die een smartphone wil, er waarschijnlijk zelfs als meerdere gehad heeft, wordt het tijd dat de tech giganten 2FA eens goed fixen. Ik denk hierbij ongeveer aan hoe de 1-tap functionaliteit van Google Authenticator werkt, maar dan een versie die breed ondersteund wordt door meerdere tech giganten.
Je hebt helemaal gelijk. Gelukkig zie je dat Google hierin ook steeds meer het voortouw neemt, door de drempel om 2 Factor Authentication te gebruiken te verlagen. Het installeren van de Google Authenticator is al niet meer nodig: je krijgt gewoon een notificatie op je Android telefoon of smartwatch die je simpelweg moet bevestigen.

Wie als IT-er of developer nu nog geen 2 Factor Authentication gebruikt, mag wat mij betreft direct verbannen worden naar SiberiŰ.
Er staat dat er toegang tot het account is verkregen via phishing. De aanvallers hadden de inloggegevens gewoon kunnen doorsturen naar een externe server, die op zijn beurt het inlogverzoek naar de oorspronkelijke server stuurt. Als de gebruiker niet doorheeft dat de inlogpoging is onderschept, dan zal hij waarschijnlijk de inlogpoging bevestigen via 2FA. Zeker in het geval van een gerichte aanval is dit best wel een realistisch scenario. Het is dus niet met zekerheid te zeggen dat 2FA uitstond, want 2FA zou hier geen volledige bescherming bieden.
The developer heeft gezegt dat 2FA uit stond, naar mijn weten.
Oppassen met het automatisch updaten van extensies dus.
Dan had je dus nooit de fix binnengekregen. Altijd updaten dus.
Dan hed je ook nooit de malwere binnengehaald en zat je nog veilig op 4.8. Nooit updaten als een kip zonder kop dus.
Is dat uberhaupt uit te zetten?
Enige wat ik heb kunnen vinden is een beetje omslachtig, maar je kan de update_url van extensions wijzigen in iets anders (http://localhost o.i.d.) zodat de extension niet meer bijgewerkt kan worden.
https://stackoverflow.com/a/27657703
...inmiddels heeft Pederick versie 5.0 vrijgegeven die volgens hem veilig is.
Huidige versie is 0.5

[Reactie gewijzigd door Tinto op 3 augustus 2017 11:10]

Wat is er eigenlijk gebeurt dat iedereen tegenwoordig de drang heeft om voor het versienummer een 0. te gooien? Je kunt argumenteren dat het aangeeft dat de software nog niet klaar is voor dagelijks gebruik, maar vroeger had je daar een alpha/beta status voor. Tegenwoordig gooien mensen software naar buiten die vervolgens jarenlang op versie 0.x blijft zitten terwijl het gewoon door Jan en alleman in productie wordt gebruikt (en daar in de regel ook klaar voor is).

Ik blijf het gewoon een rare trend vinden.
Het is eigenlijk heel simpel waarom developers dat tegenwoordig doen. Deze trend heet "Semantic Versioning". Het probleem is dat een computer niet goed weet wat voor iets komt tenzij je getallen gebruikt. Door dus op 0.x.x te blijven weet men dat het een alpha versie is maar weet de computer systemen zoals node package manager ook welke versie recenter is. Hierdoor kan een gebruiker aangeven op welke versie hij wil blijven.
Ik denk meer dat het een geval van indekken is. Daarnaast denk ik ook dat versie 0.x een andere naam is voor alpa/beta. Je maakt dus zelf de keuze om software te gebruiken die door de ontwikkelaar nog niet bestempeld is om in productieomgevingen te gebruiken.
Zo zie je maar weer dat zelfs als je zelf niet op shady stuff klikt, je wel degelijk smeerlapperij kan binnenhalen van ietwat trustworthy sources.
En ook daarom, adblocker. Vertrouwen is na´ef. Off-topic, maybe.
Wat heeft een adblocker hier mee te maken dan? Dan kan je nog steeds een trustworthy extension binnenharken en die kan nog steeds gehijacked worden. En die kan nog steeds rare tracking/andere stuff injecteren op al je sites.

Daar zit je dan met je AdBlocker en niets door hebbende.... Omdat net het enigste zichtbare (ad's) worden weg gefiltered :D
Keyword vertrouwen.
Blijkbaar stel je wel veel vertrouwen in addblockers (die hier helegaar niets mee te maken heeft overigens).
Blind vertrouwen in trusted sources is direct gerelateerd aan een aantal zaken waar we dagelijks mee te maken hebben. Weliswaar offtopic, maar wel relevant. Sterker nog, het is een expliciet onderwerp in het artikel. Verder, zoals ik al zei, off-topic. Maar dat zei ik zelf al, zelf, al. Als eerste. Zelf.

En natuurlijk bedoel ik in general elke filter die je kunt toepassen. Je mag van mij ook je hostsfile aanpassen.

[Reactie gewijzigd door Oyxl op 3 augustus 2017 11:13]

Dan kan je beter je hostfile zelf aanpassen want die adblocker is ook gewoon een extensie waarbij precies hetzelfde kan gebeuren als bij de extensie in het artikel...
Je hebt het zelf over blind vertrouwen in trusted sources maar je haalt voor het gemak maar even niet aan dat je hetzelfde doet met je adblocker :p
Adblocker kan dit zelfde probleem hebben ;)
AdBlock hielp in dit geval helaas niet.
Vanaf het woord 'adblocker' was ik het spoor bijster. Het heeft namelijk nul-komma-nul te maken met het onderwerp. Ook in een 'adblocker' had op deze manier kwaadaardige code kunnen zitten, maar daarmee houdt het dan ook wel op.
En ook daarom, adblocker. Vertrouwen is na´ef. Off-topic, maybe.
Totdat de adblocker zelf ge´nfecteerd wordt natuurlijk flappie 8)7
Totdat je addocker is voorzien van kwaadaardige code!
Aha vandaar die rare advertenties plots. Had het vrij snel gevonden dat het de toolbar was, en google had em ook al verwijderd uit de extensies. Ik wacht nog even met het opnieuw installeren..
Een maand geleden is dit ook gebeurd met de extensie Social Fixer voor Google Chrome:
https://www.facebook.com/socialfixer/posts/10155117415829342
CHROME EXTENSION HACKING UPDATE: First, I apologize for any confusion, inconvenience, and concern that this event has caused. The safety of my users is top priority to me and I take it very seriously. I have worked hard to resolve this quickly and correctly. Below is a detailed technical summary.

TL;DR Summary: The hacked Chrome version of Social Fixer was removed from the Web Store. There is no evidence of any harm done to any users, and there is currently no known risk. Nothing needs to be done by you.

UPDATE! The original extension is now back under my control, and I have published version 20.2.0 on July 5. This is an official release that is safe to install. If you had Social Fixer previously disabled, it may automatically re-enable itself. Otherwise, you may need to re-install from the Chrome Web Store. Thank you to the people at Google for the quick response!

1) My personal Google account was hacked. I have since taken every step possible to secure my account from further threats and I am confident that this cannot happen again. Using my personal account, the attacker was able to update a new version of Social Fixer to the Chrome Web Store and publish it for all users.

2) Chrome auto-updates extensions, so all Chrome users got the updated, hacked extension automatically. The code was completely changed, and required additional permissions that Social Fixer does not. For this reason, it was disabled for all users by default, and users were prompted to accept the new permissions before enabling (a good feature of Chrome!). If you did not accept the new permissions, you were never delivered the updated extension and there was no risk. If you did accept the new permissions, your extension automatically updated with the new code.

3) While the slow Firefox approval process is annoying to me at times, every extension update is reviewed by a human. This is not the case for Google Chrome. Extension updates are automatically approved after some simple automated checks. This allowed the updated extension - which was clearly not legitimate code - to be published without review. This is a limitation of the Chrome process, and could never have happened to the Firefox extension (or Opera or Safari). There is no mechanism in place that would have prevented the publishing of this malicious code.

4) On the morning of July 3, I was alerted by several users that Social Fixer had updated to version 20.1.1 (from the actual published version 20.1.0) and was asking for new permissions. As soon as I heard this, I checked my account and discovered the logins from Russia and the fact that the extension was now under someone else's control. I immediately changed my password, updated my security settings, de-authorized all apps using my credentials, and logged out all sessions. My account is now secured using every available mechanism. I also contacted Google through their official feedback tool and requested that they shut down the extension immediately.

5) Google replied to me within a couple hours to say that my request was received. However, the hacker had changed my gmail settings to prevent me from seeing any emails related to chrome or this extension. I discovered this later in the day and was able to recover the emails that were hidden from me.

6) I inspected the hacker's code inside the updated extension and found nothing that was dangerous to users. Its only purpose was to inject code from a remote server, and the injected code only ran Google Analytics. The end result was that it was keeping track of which sites users visited, but not capturing any private data. This may have just been a preliminary step by the hacker to measure how many users they had access to. There is no indication that the injected code was updated at any time to do anything different.

7) The hacked extension loaded code from unpkg.com using dynamically-generated url's. That site was very helpful in reducing the impact of the threat by updating their code quickly to blacklist the url's being generated. So even if the hijacked extension was installed in your browser, this move prevented it from actually loading any code or doing anything.

8) After multiple attempts to contact Google through different means, no action had been taken by the afternoon of July 3. I resorted to Twitter to try to get a hold of anyone who could escalate this. I finally reached someone by the evening and was able to have a late-night email exchange with people who work in security with Chrome to start the resolution. I supplied them with a detailed account of what happened.

9) By the morning of July 4, the hacked extension had been disabled in the Chrome Store by Google. No more users can be automatically updated with the bad code, and it is not available for new users. The threat has been fully neutralized.

10) I do not yet have access to my original extension id to update it. This means that I cannot publish an update that automatically gets rolled out to all users. I am hoping that I can retain this extension id so I don't lose all ~200k users or the thousands of positive reviews. The worst case is that I need to release a new version of the extension under a new id, so all Chrome users would need to install from scratch.

11) If you haven't backed up your preferences using the feature built into Social Fixer, then there is no easy way to access them or transfer them to other browsers. Your prefs should not be lost, but they won't be restored unless I can recover the old extension id and publish an update.

12) Just to be clear, no browsers except Chrome (or derivatives that use the Chrome Web Store) were affected by this. No vulnerabilities were exploited in the Social Fixer code or its functionality. The SocialFixer.com web site was not affected. The only security breach was in my personal Google account, which is used to upload extension updates. That has been fully secured, and this type of attack is no longer possible.

13) Social Fixer is not an isolated instance of this kind of hacking. In the past month, other popular extensions such as The Great Suspender, Infinity New Tab, and Betternet have all been victims of similar attacks through the Chrome Store. There is an ongoing coordinated effort to exploit any possible vulnerability in browsers, and extensions seem to be a popular target. This means I need to have even greater diligence in my procedures, which I am prepared to do.

I appreciate all your patience and understanding while I handled this as quickly and thoroughly as possible. I hope that this update gives you more than enough detail to know that I took this very seriously, and that you can trust me personally and the Social Fixer extension going forward. I will always work to protect your security and privacy, while delivering the best functionality I can provide.

I will announce when the safe and updated Chrome extension is once again available.

Thanks again,

Matt Kruse
Dit verklaart de popup die ik gisteren ineens kreeg (en het hoge cpu gebruik plotseling) :|
Inderdaad, net hetzelfde, ik zag in de URL dat het van een extensie was maar wist niet dewelke!
Ik kreeg vanmorgen toevallig een bericht van Google dat ze dachten dat mijn telefoonnummer gewijzigd was.
Ik moest met een sms-code laten zien dat ik nog hetzelfde nummer had.
Beetje vaag.
Google zal met regelmaat je identiteit en herstelopties controleren. Dat is een goede zaak natuurlijk. Bij de bank zul je je ook moeten identificeren, waarom dan niet bij Google? Me dunkt: je GMail account bevat een schat aan inloggegevens terwijl je Android toestel (als je die hebt) nog veel meer belangrijke data bevat. Natuurlijk moet dat beveiligd worden.
Dat is allemaal prima, vind het alleen vreemd dat er in het bericht stond dat ze dachten dat mijn telefoonnummer veranderd was.
Geen idee waarom. Maar dan nog steeds blij dat ze het controleren :-)
Dat had ik ook vanochtend. Ik kreeg het bericht op mijn telefoon waar ik Lineage 7.1.2 draai. Ik heb eerst de telefoon herstart en toen het bericht weer kwam heb ik doorgeklikt maar het eerste wat ik moest doen was mijn wachtwoord invoeren.
Ik vertrouwde het niet en ben niet verder gegaan. 's Middags heb ik mijn telefoon weer herstart maar toen kwam de melding niet meer.

Ik heb nog even gegoogled of het vaker voorkwam maar de enige melding over vergelijkbare berichten was van februari 2017. Het leek onschuldig.

Ik had graag Google gevraagd wat de beste optie was maar ik kon niet vinden waar ik met die vraag bij Google terecht kon.
Ik ben al Google lid sinds 2004 ergens.

Mijn vorige 06 nummer was ingesteld als herstel optie voor mijn Google account, mijn huidige nummer niet meer (al zullen ze het vast wel ergens hebben, bedankt andere mensen). Dat nummer zat er tot een jaar of 2 geleden aan vast. Ik heb daar nog nooit een soortgelijk berichtje van Google op gekregen.

De enige keer dat Google mij uit zichzelf contacteerde betrekkende de veiligheid van mijn account, kreeg ik diezelfde dag ook mail van Facebook en een SMS van Microsoft, dat er inlog pogingen vanaf 1 of ander Aziatisch IP adres waren geconstateerd.
Ik moet me met regelmaat opnieuw identificeren. Onze accounts liggen dan ook meer dan gemiddeld onder vuur, wellicht dat daar het verschil in zit.
Om deze reden ben ik dus heel erg blij met de policy op AMO. Alle add-ons voor Firefox en updates ervoor worden door een persoon gereviewd. Dit zorgt soms voor lange queues, wat als ontwikkelaar vervelend kan zijn, maar als gebruiker kun je veel meer vertrouwen hebben in het add-onsysteem. Dit is niet waterdicht natuurlijk, maar de laatste tijd komt dit vaker en vaker voor in Chrome (twee voorbeelden), en ik voel me toch geruster hierbij.
Worden de extensies ook gereviewed in code dan? Want zover ik weet heeft dit niet altijd nut. Zo heeft apple altijd checks voor dat je een app naar de store kan pushen wat dagen duurt. Maar dat weerhoud niemand van rommel in de store pushen.

Eerste resultaat op google
http://bgr.com/2015/09/24/iphone-apps-xcodeghost-malware/
Ja, ze krijgen een codereview. Zoals ik zei, dit is niet waterdicht (je zal nooit alles er uit kunnen houden), maar het is wel beduidend veel beter dan enkel wat geautomatiseerde checks doen, zoals bij Chrome gebeurt.
Dit soort extensies worden vaak ook lastiger door virusscanners gevonden volgens mij. Zo heb ik als ik een poosje niet naar AliExpress ben geweest en ik surf er weer heen een gekke redirect ertussen die ik ook niet kan plaatsen. Maar uit malware- en virusscanners is nog niks naar voren gekomen.

[Reactie gewijzigd door MsG op 3 augustus 2017 16:07]

Al je netwerk verkeer sluiten/stoppen, wireshark aangooien, browser openen en naar alieexpress gaan.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*