Quelle: BitnovostiViele moderne Dienste haben ihre eigenen Anwendungen und Erweiterungen für Browser. Der MEGA File-Sharing-Service, der von der berüchtigten Kim Dotcom erstellt wurde, ist keine Ausnahme. Dieser Dienst ersetzte den von der US-Regierung geschlossenen Megaupload und arbeitet seit mehreren Jahren ohne Probleme. Natürlich haben Urheberrechtsinhaber einige Fragen zur Rechtmäßigkeit des Platzierens einiger Dateien, aber aufgrund der Art der Arbeit des Dienstes können Urheberrechtsvertreter noch nichts damit anfangen.
Aber neulich wurde MEGA mit
einer Geldstrafe belegt - seine Erweiterung für den Chrome-Browser wurde kompromittiert. Angreifer modifizierten die Erweiterung mithilfe von Code, der Mega zu einem Dieb aus Benutzerdaten und Kryptowährungen machte.
Jetzt ist uns ein Problem mit der Erweiterungsversion 3.39.4 bekannt, die erst vor wenigen Tagen im Chrome-Katalog veröffentlicht wurde. Google hat bereits eingegriffen und die Erweiterung aus dem Chrome Web Store entfernt. Es wurde auch für alle Nutzer des Google-Browsers deaktiviert. Wenn jemand dieses Plugin verwendet, ist es besser zu überprüfen, ob es deaktiviert ist.
Nach einer detaillierten Untersuchung der Erweiterung stellte sich heraus, dass sie ihr „verstecktes Talent“ auf Websites und Diensten wie Amazon, Google, Microsoft, GitHub, MyEtherWallet und MyMonero aktiviert hatte. Darüber hinaus funktionierte es auf der IDEX-Handelsplattform, bei der es sich um einen Kryptowährungsaustausch handelt.
Bei diesen Diensten zeichnete die Erweiterung Anmeldungen, Benutzerkennwörter sowie andere Sitzungsdaten auf, die für Angreifer nützlich sein könnten, um die Konten der Opfer für ihre eigenen Zwecke zu verwenden. Insbesondere könnten die Autoren der Erweiterung die Kryptowährung des Opfers an ihre Brieftasche senden, da sie die dafür erforderlichen privaten Schlüssel extrahieren könnten.
Alle Informationen wurden an den Server megaopac.host übertragen, der sich physisch in / in der Ukraine befindet.
Nach dem Vorfall äußerten sich Vertreter der MEGA zur Situation. Insbesondere gaben sie an, dass die Version 3.39.4 am 4. September 2018 in den Chrome Web Store hochgeladen wurde. Wie bereits erwähnt, ist es jetzt bereits neutralisiert, und das Unternehmen hat eine neue Version der Erweiterung v3.39.5 hochgeladen. Es erschien 4 Stunden, nachdem es über das Problem bekannt wurde.
„Wir möchten uns für das Problem entschuldigen. Jetzt untersuchen wir die Ursache dessen, was passiert ist “,
sagten MEGA-Vertreter. In seinem eigenen Blog bedauerte das Unternehmen, dass Google beschlossen hat, die "Signaturen" von Erweiterungsherstellern zu deaktivieren. Jetzt wird die Überprüfung durchgeführt, wenn neue Erweiterungen automatisch in den Web Store heruntergeladen werden. Nach Ansicht einiger Experten hat eine Aktualisierung der Sicherheitsregeln für die Arbeit mit Erweiterungen das Schutzniveau für ihre Benutzer verringert.
Beispielsweise wird die MEGA-Erweiterung für Firefox signiert und auf dem Server des Unternehmens selbst gespeichert, wodurch die Wahrscheinlichkeit eines Kompromisses natürlich nicht aufgehoben, sondern erheblich verringert wird.
Im Prinzip ist dies nicht der erste Fall, in dem "weiße" Erweiterungen für Chrome gehackt werden. Letztes Jahr wurde der Kompromiss von Web Developer bekannt, einer Erweiterung für Entwickler. Es ist sehr beliebt, vor einem Jahr betrug die Anzahl der Webentwickler-Benutzer etwa eine Million. Anscheinend zog die Popularität der Erweiterung Cracker an.
Dann konnte der Angreifer einen Account des Autors von Web Developer zur Verfügung stellen, wonach er seinen eigenen Code hinzufügen konnte. Nachdem die geänderte Erweiterung in den Web Store hochgeladen wurde, wurde jeder Benutzer automatisch infiziert. Vor einem Jahr wurde das Problem übrigens auch schnell erkannt und lokalisiert - nur drei Stunden vergingen von der Entdeckung des Hacks bis zur Beseitigung der infizierten Erweiterung.