Меню
RU

Вредоносные блокировщики 2: теперь с печеньками

— Окей, Гугл, я пользуюсь Chrome и мне нужен блокировщик рекламы.
— Не вопрос, в Chrome Web Store, найдется пара сотен блокировщиков на любой вкус!
— Пара сотен? И они все рабочие? И безопасные? В прошлом году говорили, что в Гугл Сторе обнаружили много фейковых и вредоносных программ!
— Не волнуйтесь, мы как раз собираемся ограничить функции блокировщиков, это поможет!
— Правда? Отлично, спасибо! Выберу блокировщик из первой десятки в выдаче. Вот этот "AdBlock" от "AdBlock, Inc" кажется, заслуживает доверия. У него есть политика конфиденциальности, больше 800 000 пользователей, а компания-разработчик из Германии. Или попробовать вот этот "uBlock" от "Charlie Lee"? Рейтинг 5 звезд, 850 000 пользователей, тоже должен быть ничего.

Так, стоп!

Этот "AdBlock" — вредоносная программа, мимикрировавшая под блокировщик, как и якобы "uBlock". В сторе вообще висят тонны менее популярных клонов известных программ. Откуда мне это известно? Я потратил довольно много времени, копаясь в их коде, пытаясь выяснить, что они делают на самом деле. Другой вопрос — как вы (и вообще любой простой пользователь) можете об этом знать?

Cверху — реальный AdBlock, ниже — его вредоносные клоны

И что же с ними не так?

Для начала, эти программы используют названия двух весьма популярных блокировщиков рекламы, что, по сути, является обманом пользователей — уже одного этого факта достаточно для подозрений. Тем не менее, несмотря на множество репортов, расширения так и продолжают "висеть" в сторе.

Похоже, проблемы профессиональной этики и прямой обман — это ещё не причина удалять расширение. Попробуем зайти с другой стороны и рассмотрим их вредоносное поведение.

Сейчас будет длинное техническое объяснение. Если вы не разработчик, советую сразу перейти к следующей части статьи.

Поначалу расширения делают то, что им и положено делать — блокируют рекламу. Они оба используют код оригинального расширения "AdBlock", так что качество блокировки приличное.

Периодически они высылают такие запросы:

GET https://ublockerext.com/heartbeat/json/?action=config&&id=dgpfeomibahlpbobpnjpcobpechebadh&version=1.7&lt=199&uid=76f24bff-d831-aa47-7377-7ea195bf9cf8&r=1567540438520

На первый взгляд в ответе сервера нет ничего криминального:

{"blockPopups":true,"statuses":[["synchronize_invalid_url","filters_subscription_lastDownload_invalidURL"],["synchronize_connection_error","filters_subscription_lastDownload_connectionError"],["synchronize_invalid_data","filters_subscription_lastDownload_invalidData"],["synchronize_checksum_mismatch","filters_subscription_lastDownload_checksumMismatch"]]}

Но примерно через 55 часов после установки ответ сервера внезапно меняется и выглядит уже довольно подозрительно.

В этом новом ответе содержится список команд, который должно выполнить расширение. Затем меняется его поведение, и кроме собственно блокирования рекламы расширение начинает делать кое-что ещё.

При заходе на каждый новый домен отсылается запрос на urldata.net. Если вы зайдете, например, на teamviewer.com, высланный запрос будет выглядеть так:

http://urldata.net/api?key=4e4a7faf91b2bcda88a60e269e4d6208bfe8d3d6&out=https%3A%2F%2Fteamviewer.com&format=txt

Ответ на такой запрос будет содержать следующий URL:

http://urldata.net/newapi/click/PvdHh16uGq6mLqmbUoT3AaUImj7ynsh0cVlCywkljEF19oBV0JH4jNYpn--xwIyEV36OMPPH1IrESEyclc7yxEbB3mYrfPMxnGqoV4SOmQ4MI9NYNHAQrPHwvJNE0W488ESUN1y7ONahVxwBZKnr4PZlZKI5gNi65DoIfYNwXAPoyFwh8Mgz1bX63V4PnjspvZa-DqjF5GTNxoIJqpHLC1_SwlFRYeoIvVGutkgfCSI4hMHa3z52VbL7VxbaQAhhqLC-uJUJO_s234VL3JDM01O-JE9PS6fXOH6z5XUojvotSQ5mZe7NFEsuMaeSK9rasy8MvaICWZpGDmgxIodzvMpJUv41ppkuqMBDDYpHptCEBb4Za_HffgaiKn-aY_COfan5P650B6ZTQsVqNKidMRRaHY4FxvM7VA79vX5_Oe0J0c9Wczw8VM9GrvzlGLdt4TjyBcF2JEtpcayh99JdL1wxrL_EoEHMml4LDy1JwT8LPxPG2vrlK5QSuoGrx-7tJLHD6Gq3SUeQj1XXEcENy77hkzU79TO9_hEs29Kq6ASdk6NKIZT8gOuJsNOAkU4i0Y9JvmEpdENyBL2ugmFNyitW2CfGzHrLsNex

Расширение тут же откроет эту ссылку в фоновом режиме. За этим запросом последует цепочка редиректов:

Последним запросом в цепочке будет вот этот:

https://www.teamviewer.com/en/content/2019-cj-emea/?coupon=aff-19-en-10-1&utm_source=affiliate&utm_medium=cj&utm_campaign=dedc1dc5d58611e982c203670a180513&utm_content=2933854&PID=affiliate.cj.q1&s=1&cjevent=dedc1dc5d58611e982c203670a180513

Вы спросите, что происходит? Судя по всему, адрес принадлежит чьей-то партнёрской программе с Teamviewer. В ответ ваш браузер получит "партнёрский" куки. С этого момента если вы сделаете покупку на сайте teamviewer.com, разработчик расширения получит комиссию от Teamviewer.

Эту технику обмана называют Cookie stuffing или cookie dropping (подмена куки).

Для этой схемы используется множество партнёрских ссылок. Здесь лишь малая часть, того, что мне удалось "вытащить" за 30 минут. Вот некоторые жертвы обмана, чьи названия на слуху: microsoft.com, linkedin.com, aliexpress.com, booking.com, и это далеко не все, список гораздо длиннее.

Ещё один интересный факт об этом расширении — у него есть механизмы самозащиты. Например, оно может "увидеть", что открыта консоль разработчика и тут же прекратить любую подозрительную активность.

О ситуации вкратце

  • Обе фейковые программы — AdBlock и uBlock — вводят пользователей в заблуждение, прикрываясь названиями действующих и популярных блокировщиков.
  • Их до сих пор не убрали из Google Store, несмотря на многочисленные репорты.
  • Настоящая цель этих расширений — Cookie stuffing — это нелегальная схема обогащения.
  • Масштаб поражает. У этих расширений на двоих более 1,6 миллиона "активных пользователей", подменённых куки с 300 (минимум!) сайтов из списка Топ 10000 рейтинга Alexa. Сложно рассчитать точный ущерб, но мы говорим примерно о миллионах долларов США в месяц.

В целом, есть и положительная сторона. Поскольку схема раскрыта, хозяева партнёрских программ могут отследить денежные потоки и выяснить, кто за ними стоит. За cookie stuffing можно получить вполне реальный срок, так что есть шанс, что разработчиков этих расширений привлекут к ответственности.

Проблема фейковых расширений

Проблема на самом деле не нова, мы уже писали о подобных случаях. Но, несмотря на огласку, я не вижу никаких шагов от Google в сторону решения проблемы. Ощущение, что наоборот, стало хуже. По крайней мере, раньше фейковые блокировщики должны были придумывать оригинальные названия. Теперь, как мы видим, они даже не заморачиваются!

И на такие уловки попадаются не только пользователи. Например, фейковый "AdBlock" попал в список блокировщиков, рекомендуемых androidcentral.com:

Отрывок с положительным отзывом от Android Central

Только ли с Chrome WebStore есть такая проблема? Не совсем. Например, сплагиаченный фейк AdGuard получил значок "рекомендуемая программа" от магазина расширений Mozilla Add-ons, несмотря на многочисленные жалобы о неэтичном поведении (1, 2). Спасибо хоть на том, что не украли название, ограничившись лишь частью кода.

Что можно сделать?

Вы, вероятно, слышали, что Google предложил решение под названием "Manifest V3". Они говорят, что ограничение возможностей расширений улучшит их производительность, повысит уровень безопасности и защиту конфиденциальности.

Думаете, так и будет? В целом, я согласен с пунктом про производительность, но я не вижу, как эти меры помогут с остальным. Например, эта мера никак не помешает двум уже упомянутым расширениям заниматься куки стаффингом.

И вообще я совершенно согласен с тем, что предлагает EFF:

Для того, чтобы действительно защитить пользователей, Google нужно начать должным образом применять существующую политику Chrome Web Store.

Тем временем в офисе Google

Как можно защитить себя?

Как видите, даже журналисты порой дают фейкам себя обмануть, так что вопрос действительно сложный. Год назад я бы сказал, что рецепт прост — устанавливайте расширения только от разработчиков, которым доверяете.

Сейчас ситуация стала хуже, чем была, и поэтому хотелось бы добавить вот какие рекомендации (по крайней мере пока что-нибудь не изменится):

  1. Если вы собираетесь установить расширение для браузера, подумайте. Может, оно вам на самом деле не очень-то и нужно?
  2. Не верьте на слово описаниям расширений в сторе. Имейте в виду, что они практически не проходят никакие проверки, так что написать могут всё, что угодно.
  3. Чтение отзывов пользователей тоже может оказаться бесполезным занятием. У упомянутых расширений были отличные отзывы, но расширения оказались вредоносными.
  4. Не пользуйтесь внутренним поиском Веб сторов, лучше загружайте расширения напрямую с официальных сайтов разработчиков.

Обновлено 18 сентября:
Мы рады добавить, что оба расширения, о которых шла речь в этой статье, на данный момент заблокированы в Chrome. Это, конечно, хорошо, но Google придётся сделать намного больше, чтобы доказать, что они действительно заботятся о безопасности своих пользователей.

Понравился пост?
25 770 25770 отзывов
Отлично!

AdGuard для Windows

AdGuard для Windows — это не просто «ещё один блокировщик». Это многоцелевой инструмент, который блокирует рекламу и доступ к опасным сайтам, ускоряет загрузку страниц и защищает детей от взрослого контента.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 770 25770 отзывов
Отлично!

AdGuard для Mac

В отличие от других блокировщиков, AdGuard разработан с учётом специфики операционной системы macOS. Он не только блокирует рекламу в Safari и других браузерах, но и защищает вас от слежки, фишинга и мошенничества в сети.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 770 25770 отзывов
Отлично!

AdGuard для Android

AdGuard для Android — это идеальное решение для Android-устройств. В отличие от других блокировщиков, AdGuard не требует root-доступа и позволяет управлять трафиком любых приложений на вашем устройстве.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 770 25770 отзывов
Отлично!

AdGuard для iOS

Лучший блокировщик рекламы для iPhone и iPad. AdGuard устраняет рекламу в Safari, защищает ваши данные и ускоряет загрузку страниц. AdGuard для iOS использует новейшую технологию блокировки, которая обеспечивает непревзойденное качество фильтрации и позволяет применять множество различных фильтров одновременно
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 770 25770 отзывов
Отлично!

AdGuard Content Blocker

AdGuard Content Blocker устраняет все объявления в мобильных браузерах, которые поддерживают технологию блокировки контента — к примеру, Samsung Internet и Яндекс.Браузер. Он обладает меньшим количеством функций, чем AdGuard для Android, но при этом бесплатен, прост в установке и по-прежнему обеспечивает высокое качество блокировки рекламы.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 770 25770 отзывов
Отлично!

Браузерное расширение AdGuard

AdGuard — самое быстрое и легкое браузерное расширение для блокировки всех типов рекламы! Выбирайте AdGuard для быстрого и безопасного серфинга без рекламы.
25 770 25770 отзывов
Отлично!

Помощник AdGuard

Дополнительное браузерное расширение для десктопных приложений AdGuard. Даёт доступ к таким функциям в браузере, как блокировка отдельных элементов, занесение сайта в белый список или отправление отчёта.
25 770 25770 отзывов
Отлично!

AdGuard DNS

AdGuard DNS – это альтернативный способ заблокировать рекламу, защитить личные данные и оградить детей от взрослых материалов. Он прост в настройке и использовании и обеспечивает необходимый минимум защиты от рекламы, трекинга и фишинга, независимо от платформы.
25 770 25770 отзывов
Отлично!

AdGuard Home

AdGuard Home — мощный сетевой инструмент против рекламы и трекинга. С усилением роли интернета вещей становится все более и более важным управлять всей вашей сетью. После настройки AdGuard Home будет охватывать ВСЕ ваши домашние устройства и для этого вам не понадобится программное обеспечение на стороне клиента.
25 770 25770 отзывов
Отлично!

AdGuard Pro для iOS

AdGuard Pro предлагает гораздо больше чем просто блокировку рекламы в Safari, которая есть в обычной версии. С помощью специальных настроек DNS вы сможете блокировать больше рекламы, защитить ваши личные данные и оградить детей от взрослого контента.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 770 25770 отзывов
Отлично!

AdGuard для Safari

Расширения, блокирующие рекламу в Safari, переживают не лучшие времена с тех пор, как компания Apple вынудила всех использовать новый SDK. Познакомьтесь с нашим легко настраиваемым и молниеносным приложением!
25 770 25770 отзывов
Отлично!

AdGuard Temp Mail

Ваш временный почтовый ящик, чтобы на основную почту не приходил спам
25 770 25770 отзывов
Отлично!

AdGuard для Android TV

AdGuard для Android TV — единственное приложение, которое блокирует рекламу, защищает ваши данные и действует как фаервол для Smart TV. Получайте предупреждения о веб-угрозах, используйте безопасный DNS, а ваш трафик будет зашифрован. Смотрите любимые сериалы безопасно и без рекламы!
Загрузка AdGuard началась Стрелка указывает на файл: нажмите на него, и установка начнётся Выберите «Открыть», нажмите «OK» и дождитесь загрузки файла. В открывшемся окне перетащите значок AdGuard в папку «Приложения». Спасибо за выбор AdGuard! Выберите «Открыть», нажмите «OK» и дождитесь загрузки файла. В открывшемся окне нажмите «Установить». Спасибо за выбор AdGuard!
AdGuard есть и в мобильном варианте