Gekaapte Mega-extensie voor Chrome onderschepte tijdelijk logins populaire sites

De Chrome-extensie voor de opslagdienst Mega was tijdelijk overgenomen door kwaadwillenden, die een aangepaste versie in de Chrome Store uploadden. Daarvoor waarschuwt Mega. De extensie onderschepte logins voor populaire diensten, zoals GitHub en Amazon.

In een eigen waarschuwing meldt Mega dat er op 4 september een onbekende partij een trojanized versie van de extensie in de Chrome Store heeft gezet door het Store-account van het bedrijf over te nemen. Die versie had nummer 3.39.4 en vroeg om permissie voor het lezen van alle gegevens op bezochte sites. Volgens het bedrijf heeft het deze kwaadaardige versie 'binnen enkele uren' vervangen door een gepatchte versie met nummer 3.39.5. Het waarschuwt dat de kwaadaardige extensie logins onderschepte op github.com, amazon.com, live.com, google.com, myetherwallet.com, mymonero.com en idex.market. Ook onderschepte de software HTTP POST-verzoeken op andere sites en stuurde de opgevangen gegevens door naar een server in Oekraïne.

Inmiddels heeft Google de extensie uit de Chrome Store verwijderd. Mega waarschuwt dat mensen die auto-update aan hadden staan en de nieuwe permissies hebben goedgekeurd, of mensen die de kwaadaardige versie direct installeerden, ervan moeten uitgaan dat de logins van bezochte sites in de tijd dat de extensie actief was als compromised beschouwd moeten worden. Het is daarom aan te raden na te gaan welke sites dit zijn en de wachtwoorden aan te passen. In het geval van niet-unieke wachtwoorden is het ook verstandig deze op de andere sites aan te passen. Op de sites voor cryptovaluta is het wellicht verstandig om tegoeden naar een ander account over te zetten. De kwaadaardige extensie was ook uit op privésleutels.

Volgens Mega is de Firefox-extensie niet getroffen, hetzelfde zou voor MegaSync en de mega.nz-site gelden. Beveiligingsonderzoeker SerHack waarschuwde dinsdagavond dat de extensie is overgenomen en publiceerde afbeeldingen van de kwaadaardige code. Het is niet de eerste keer dat een overgenomen account wordt gebruikt om een kwaadaardige versie van een browserextensie te verspreiden. Dat gebeurde vorig jaar bijvoorbeeld bij de extensie Web Developer en recentelijk bij Hola VPN.

Mega werd in 2013 opgericht door Kim DotCom als opvolger voor filelockerdienst Megaupload. In 2015 verbrak hij zijn banden met Mega en stelde hij in een interview met Slashdot dat de data van gebruikers bij die dienst niet meer veilig is. Mega weersprak dit.

Mega-extensie-codeMega-extensie-codeMega-extensie-code

Afbeeldingen via SerHack

Door Sander van Voorst

Nieuwsredacteur

05-09-2018 • 10:15

36

Reacties (36)

36
36
13
3
0
19
Wijzig sortering

Sorteer op:

Weergave:

Wellicht handig om te vermelden, dat dit niet enkel om MS, Amazon, Github, etc gaat, maar dat de extensie ook van "alle" generieke formdata zoals usernames en passwords probeert te stelen, niet alleen voorgeprogrammeerde websites.

edit;

Meer informatie hier ;
https://twitter.com/serhack_/status/1037026672787304450?s=19

[Reactie gewijzigd door w0nnapl4y op 23 juli 2024 02:22]

Er zijn wel meer extensies die 'gehackt' zijn. Oa veel downloader extensies (mixcloud, soundcloud etc) zijn na verloop van tijd allemaal geinfecteerd met extra 'functies'. Zo heb ik onder andere die van mixcloud in de chrome store een 'report' gegeven. Deze bleek (binnen mijn sandbox) bij alle bezochte sites er ads en tracking in de javascript te injecteren. Ik heb niet verder doorgezocht en meteen gerapporteerd, maar zou me niet verbazen als formdata ook door de extensie werd meegenomen. Die van soundcloud heeft dat jaren terug ook al gehad.
De originele bouwer van de mixcloud extensie heeft de code op github gezet, en daar zie je hoe hij met een URL regexfilter in een listener op een tab als eerste statement bepaald of hij actie moet ondernemen. Dat is niet heel moeilijk om te bouwen om met alle andere pagina's ook wat te gaan doen. https://github.com/mixclo...blob/master/background.js
En je ziet dus dat er af en toe weer varianten van deze extensie in de chrome-store komen die dus zijn 'aangepast'.
Ik vraag mij af hoe het verschil in opbouw tussen Chrome, Firefox en IE in extensies is, gezien dit soort nieuws bij Chrome vaker voorbij komt, maar problemen bij Firefox/IE hoor je hier niet over.
Mega heeft jouw reactie zelf toegelicht op hun blog "We would like to apologise for this significant incident. MEGA uses strict release procedures with multi-party code review, robust build workflow and cryptographic signatures where possible. Unfortunately, Google decided to disallow publisher signatures on Chrome extensions and is now relying solely on signing them automatically after upload to the Chrome webstore, which removes an important barrier to external compromise. MEGAsync and our Firefox extension are signed and hosted by us and could therefore not have fallen victim to this attack vector. While our mobile apps are hosted by Apple/Google/Microsoft, they are cryptographically signed by us and therefore immune as well." de chrome webstore is dus een makkelijker target dan hun overige extenties omdat ze niet controleren met welk certificaat een extentie wordt geupload.
Dat is toch wel erg vies. Je zou verwachten van elke grote extensie-store dat dat zou moeten kunnen.
Daarnaast meen ik dat Chrome extensies en updates niet inhoudelijk controleert voordat ze gepubliceerd worden, terwijl Firefox dit in principe wel doet. Daarmee houd je niet alles tegen, maar wel van alles.

Naast privacy nog een reden om voor Firefox te kiezen! Is tegenwoordig ook even snel als of sneller dan Chrome. En ook een reden voor "power users" om automatische updates voor software nooit aan te zetten, altijd op je eigen tempo updaten. Voor leken kan het wel goed zijn om automatisch up te daten.

[Reactie gewijzigd door Cerberus_tm op 23 juli 2024 02:22]

Het aandeel Firefox/IE is dan ook veel kleiner dan Chrome. Je kan beter Chrome "hacken", dan heb je direct een groter publiek te pakken.

Volgens statcounter.com (alle devices)
Chrome‎: ‎59.69%
IE‎: ‎3.01%
Firefox‎: ‎5.02%
enkel desktop
Chrome 67.63%
Firefox 10.97%
IE 7.02%

[Reactie gewijzigd door !nFerNo op 23 juli 2024 02:22]

Vergeet je daarin niet dat de mobiele platformen (dus Android wat draait op tablets/laptops/telefoons) ook meegeteld wordt in dit aandeel? Standaard staat Chrome daarop geïnstalleerd.
Bij lange na niet altijd.
Bij samsung heb je een samsung browser, en bij asus ook iets vergelijkbaars.

Hierin moet je dus de keuze maken om chrome te gebruiken.
Chrome is ook dominant op mobile. Daarnaast is bijvoorbeeld de samsung browser ook gewoon op chromium gebasseerd. Hierop kunnen de zelfde (kwaadwillende) extensies op worden geïnstalleerd.
Weer wat geleerd tnx
Mogelijks heeft dit te maken met de populariteit van Chrome.
De opbouw zou inderdaad een rol kunnen spelen, maar vergeet niet, hoge bomen vangen veel wind.
Mega waarschuwt dat mensen die auto-update aan hadden staan en de nieuwe permissies hebben goedgekeurd, of mensen die de kwaadaardige versie direct installeerden, ervan moeten uitgaan dat de logins van bezochte sites in de tijd dat de extensie actief was als compromised beschouwd moeten worden
Maar gaat dit om zelf ingevulde gegevens, of ook opgeslagen logins? Laatste geval lijkt me toch extreem tricky, dit is de zwakte van het hele systeem met extensies, als je de bron aanpakt gaat het gros er 'vanuit' dat Chrome veilig is, extensie veilig is, dus alles accepteren.

Ze zullen natuurlijk wel op zoek zijn naar specifieke logins, maar alles wat in die post-data zal (daar zal je https ook niet helpen), is ook gewoon richting die server gegaan.
Bevestigt maar weer dat je voor belangrijke diensten altijd tweetrapsverificatie moet gebruiken. Wachtwoorden veranderen is goed maar er vanuit gaan dat iemand je wachtwoord heeft bemachtigd is beter.
Verder bevestigd het wederom dat je niet zomaar lukraak allemaal extensies moet installeren, zeker niet zonder ook eerst de rechten te controleren, ook van populaire bedrijven.
Dit is inmiddels al niet de eerste keer meer.
Dan heb ik erg geluk gehad gisteren, ik heb chrome terug geinstalleerd om de nieuwe functies uit te proberen en mega stond in mijn account gesynct de overvloed aan nieuwe permissie meldingen is mij niet onbekend als ik chrome een tijd niet heb gebruikt en gezien z'n 60% van mijn extenties dit vroeger sloeg dit geen alarm. Gelukkig was een van de eerste dingen die ik wou doen op de mega website en merkte ik dat de extentie niet goed functioneerde want de mega pagina laden namelijk niet in en ik heb hem vrijwel direct verwijderd.

Update: Net het officiele statement gelezen en Google heeft hier ook een rol bij gespeeld.
"Unfortunately, Google decided to disallow publisher signatures on Chrome extensions and is now relying solely on signing them automatically after upload to the Chrome webstore". Dit had dus door Google voorkomen kunnen worden als hun signature was gecontrolleerd zoals gebruikelijk is bij software extenties op andere platformen.

[Reactie gewijzigd door henk717 op 23 juli 2024 02:22]

Als je de versie in jouw browser hebt gehad, raadt ik je aan om jouw wachtwoorden direct te wijzigen.
Het moment dat jij "toestemming" had gegeven kon de extensie jouw formulieren (automatisch invullen van website gegevens) en overige wachtwoorden stelen. Hiervoor hoef jij de extentie zelf niet te hebben gebruikt en "direct" verwijderen is niet voldoende.

Ook jouw eventuele cryptocurrency logins voor MyEtherWallet, IDEX en MyMonero zijn niet veilig, ook al is dit een niche, mocht je dit hebben, zou ik direct actie ondernemen.

[Reactie gewijzigd door w0nnapl4y op 23 juli 2024 02:22]

Ben er al mee bezig, maar wat ik wil zeggen is dat ik blij ben dat ik mega als een van de eerste sites heb geopend en vervolgens de extentie verwijderd gezien de normale functionaliteit niet meer werkte. De schade is dus relatief beperkt gebleven en de sites die ik heb gebruikt zitten allemaal achter two factor. Wel ben ik de wachtwoorden zo veel mogelijk aan het wijzigen zeker op sites die geen two factor ondersteunen zoals mega zelf.
2FA is zeer goed! en mooi dat je de acties al aan het ondernemen bent.

De nuance zit hem echter in het feit dat jij de website NIET gebruikt hoeft te hebben. Alleen het installeren van de versie 3.39.4 was al genoeg om ALLE acties uit te voeren. Jij hoeft dus niet naar Gmail of Tweakers te zijn geweest, maar je wachtwoorden hiervan kunnen wel gestolen zijn.
Ik kreeg laatst nog een melding van MEGA over een vreemde inlog locatie ergens in rusland ofzo.... meteen maar dat account verwijderd (gebruikte het toch nooit) en ook wachtwoorden gewijzigd.
Idem hier, ik heb mijn paswoorden toen gewijzigd. Volgens MEGA bleef het bij een login attempt.
Misschien beetje door de bocht, maar een perfect reden waarom je nooit iets laat zelf auto update.
Ik heb ook meerdere malen gehad dat windows weer één of andere update erdoorheen gooide, waardoor al mijn windows-settings meteen weer weg waren. Gevolg is dat ik daarna weer 5 uur bezig was om alles weer naar mijn wens in te stellen (windows-update terugdoen loste ook niks op). Sindsdien staat windows update standaard uit en voor een belangrijke update maak ik eerst ff een hele goede backup van alles.
Ik gebruik daar deze altijd voor: https://www.oo-software.com/en/shutup10

Vaak genoeg dat updates alles weer terug zetten, zo weer recht gezet met deze app!
Dank! ga ik eens proberen. Maar bij mij gaat het niet alleen om privacy-functies, maar ook om andere dingen zoals onedrive, install directories en andere registery aanpassingen
Dat is inderdaad een probleempje met alles in de browser draaien. Je hebt geen overzicht meer wanneer er software is geupdate, en wat er dan zoal draait. Zelfde vector heeft bijv Protonmail ook.
Ik kreeg inderdaad ook de melding dat er een update was van mega die meer rechten nodig had. Heb niet eens bekeken welke die rechten dan waren, maar direct de extensie gewist, aangezien ik de dienst toch zelden nog gebruik.
Altijd opletten toch met extensies die alles kunnen lezen van elke site die je bezoekt... Is er een manier om snel dat soort extensies te zien in alle geïnstalleerde extensies?
Op het twitteraccount van Monero wordt er ook voor gewaarschuwd. Zie dit cointelegraph artikel:
https://cointelegraph.com...sed-to-steal-users-monero

Op dit item kan niet meer gereageerd worden.