Nano Adblocker et Nano Defender supprimés du Web store de Google

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6295
Inscription : 02 juin 2012 20:48

Nano Adblocker et Nano Defender supprimés du Web store de Google

Message par Parisien_entraide »

ATTENTION : Ce qui suit ne concerne QUE les versions Chromium (Chrome, Chrome, Opera, Vivaldi, Brave, ...)
. La version Firefox n'est pas concernée ni celle de Edge qu'il faut bien entendu prendre sur le site du store de Microsoft

Il s'agit d'un fork et l'extension ne faisait pas partie de l'accord de vente
Son responsable a exprimé son intérêt à le renommer et à continuer à le maintenir.

https://addons.mozilla.org/fr/firefox/a ... ent=search
2020-10-22_105118.jpg

Du reste, de nos jours il n'y a aucune raison d'utiliser Nano Defender si on a Ublock Origin
https://jspenguin2017.github.io/uBlockP ... ock-origin
idem pour
https://github.com/LiCybora/NanoCore2/b ... migrate.md



LE VIF DU SUJET

Google a supprimé deux extensions Chrome bloquant les publicités du Chrome Web Store officiel.

La raison en était la collecte illégale de données utilisateur.

2020-10-22_095640.jpg
2020-10-22_095640.jpg (7.64 Kio) Consulté 197 fois

Les modules complémentaires ont été publiés sous les noms

Nano Adblocker

et
Nano Defender

et ont été installés par 50 000 et 200 000 utilisateurs, respectivement.

Fait intéressant, les deux extensions existent depuis plus d'un an, mais il n'y avait pas de code malveillant dans les premières versions.

Pour rappel, Nano Defender a été lancé en 2019, et utilisait le code d'uBlock Origin
La différence entre les deux était que nano Defender prenait en charge une option de rapport pour informer le développeur des problèmes rencontrés lors de l'utilisation de l'extension.
Un port pour Firefox a été créé par un autre développeur


Le logiciel a commencé à collecter illégalement les données des utilisateurs début octobre 2020.

Les modifications apportées au travail des modules complémentaires sont intervenues immédiatement après leur vente aux développeurs turcs. Il s'est avéré que ces mêmes développeurs ont modifié le code des extensions Chrome, ajoutant la possibilité d'y collecter des informations.

«Désormais, le logiciel recherche des données spéciales dans les requêtes réseau sortantes de l'utilisateur. Ensuite, toutes les informations collectées sont envoyées à https://def.dev-nano.com », explique Raymond Hill, créateur du populaire bloqueur de publicité uBlock Origin.

Il faut se rappeler que l'analyse des extensions n'est pas toujours facile, car celle ci peut modifier son comportement une fois que l'on se sert des outils de développement comme

https://chrome.google.com/webstore/deta ... diffmgedin

ou (même auteur)

https://robwu.nl/crxviewer/

2020-10-22_094453.jpg


Selon l' analyse , les extensions ont enregistré les informations suivantes:

Code : Tout sélectionner

- Adresse IP de l'utilisateur. 
- Pays de résidence. 
- Informations sur le système d'exploitation. 
- L'URL des sites Web que vous visitez. 
- Horodatage des requêtes Web. 
- La taille des réponses HTTP. 
- Temps passé sur chaque page. 
-- Système d'exploitation et environnement informatique
- Liens sur lesquels l'utilisateur a cliqué sur certaines pages Web.



En complément

Les deux développeurs turcs sont (d'après Hugo Xu l'auteur des Nano) :

-Semagul aymak pour Nano Adblocker

- Sizametdin altuncu pour Nano Defender

On les retrouve ici :

https://play.google.com/store/apps/deve ... Apps&hl=en

Ils sont aussi derrière (du moins était car Google a supprimé la page) derrière l'application " Ublock Protector" (en profitant de la notoriété de Ublock Origin)

Néanmoins qu'ils s'affichent avec des noms Turcs ne signifient rien, mais...
https://github.com/lilcsz

Comme l'a souligné Raymond Hill (qui est derrière Ublock Origin)

-----------------------------------------
"Deux développeurs" [1] sans antécédents de contribution au projet en cours, ou des projets connexes montrant au moins un intérêt quelconque pour le blocage de contenu ou la confidentialité ou même des sujets vaguement liés, et sans présence Internet visible à ce jour , a payé un montant non divulgué en échange de la base d'utilisateurs et du contrôle des référentiels GitHub.

À partir de maintenant, la base d'utilisateurs a déjà été transférée (selon les listes du Chrome Store) et, selon toute vraisemblance, la majorité de ces utilisateurs n'auront aucune idée que leurs extensions installées ne sont plus gérées par la personne en qui ils avaient initialement confiance, du moins implicitement, quand ils ont installé ces extensions. Les liens vers la politique de confidentialité ont été supprimés des listes de Chrome Store ( ici et ici ).

Il va sans dire que l'objectif de ces «deux développeurs» est de monétiser les deux extensions. Ces «deux développeurs» continueront probablement d'importer tout le travail de l'amont, c'est-à-dire uBO, qui est le résultat de bénévoles de longue date investissant leur propre temps libre et leurs efforts jours après jours s'étalant sur des années, ce qui a également contribué à faire de Nano AdBlocker ce qui c'est.

[1] Utilisation de citations car personne ne sait qu'il y a vraiment deux développeurs réels étant donné que rien ne peut être vérifié jusqu'à présent."
-------------------------


LA METHODE UTILISEE

Un auteur de logiciels malveillants commence à approcher les développeurs d'extensions populaires du Chrome Web Store, qui ont:

- Des Autorisation de lire et de modifier toutes les données sur tous les sites (ex. Adblockers, outils de développement).
- Une longue existence sans malware (années).
- -Notes élevées (généralement> 4,0).
- Des centaines de milliers d'installations actives.

Ils abordent ces développeurs comme une partie anonyme - généralement en tant qu'étudiant ou développeur débutant - et demandent à acheter les droits sur l'extension.
Parfois, ce sont tous les droits et l'auteur du malware assume le contrôle total de l'extension (promettant de la maintenir), d'autres fois, ils négocient un accord où ils n'achètent que les droits sur l'extension et la base d'utilisateurs existantes, et permettent à l'auteur d'origine de télécharger un nouvelle copie de leur extension.

Une fois que le contrôle des extensions est transféré aux développeurs, ils chargent la version actuelle de leur charge malveillante, et tous les utilisateurs qui possèdent ces extensions sont infectés au fur et à mesure que Chrome les met à jour automatiquement - déployant des logiciels malveillants à des centaines de milliers d'utilisateurs.

C'est la méthode qui a été utilisée en aout dernier à l'encontre de la sté eSolutions Nordic AB avec leur module complémentaire "User-Agent Switcher"
2020-10-22_104813.jpg
Pour les curieux l'analyse est ici https://github.com/partridge-tech/chris ... witcher.md



LES CONSEQUENCES :

Si on se réfère à ce qui est connu, la cible est surtout les medias sociaux (100 likes sur instagram vaut 1$)

Si vous étiez connecté à Instagram , vous devez changer votre mot de passe
Si vous étiez connecté à Facebook , vous devez changer votre mot de passe
Des préoccupations ont également été soulevées au sujet des comptes Twitch et GitHub , mais pour l'instant c'est à considérer comme "non confirmé".

Attention ! Tout cela est incomplet, car le malware vole les informations d'en-tête pour certains sites (y compris les jetons de session, qui sont utilisés pour s authentifier) MAIS, Il ne le fait pas par défaut pour tous les sites (Ce qui est difficile à trouver)

Donc il vaut mieux changer les mots de passe également pour les sites sensibles comme Paypal etc, comptes de jeux etc


Edit :


Confirmés et ajoutés :

--Comptes Microsoft / Outlook
- Github

Tout ce qui a été visité avec login et mot de passe des derniers 15 jours qui suivent l'installation du module


RAPPEL :

Lorsque le navigateur vous avertit qu'une extension peut "lire et modifier toutes vos données sur les sites Web que vous visitez" , ce n'est pas seulement pour des questions de confidentialité, c'est surtout pour des questions de sécurité

Tout se résume à la confiance, et la règle la plus élémentaire des extensions de navigateur est simplement de ne jamais installer d'extensions auxquelles vous ne faites pas explicitement confiance.
La confiance doit être gagnée, non donnée.
On ne peut blâmer l'auteur de ce qui arrive, il n'a jamais eu l'intention de vendre ses utilisateurs à cette infection
Par inexpérience il a fait confiance et "en face" il faut se rappeler qu'on a à faire à des manipulateurs chevronnés, souvent psychopathes (ce qui aide pour manipuler les gens) et la majorité des gens peuvent se faire avoir

Pour ceux qui doutent, il y a cette histoire connue d'un banquier allemand, qui il y quelques années avait reçu un scam ( La fameuse fraude nigériane, appelée fraude 419)
Il savait que c'était un SCAM, mais ayant a priori du temps à perdre et se pensant supérieurement intelligent (sa faille) il a voulu s'amuser avec les expéditeurs
Au final, au bout de quelques semaines, il a envoyé l'argent demandé..
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6295
Inscription : 02 juin 2012 20:48

Re: Nano Adblocker et Nano Defender supprimés du Web store de Google

Message par Parisien_entraide »

Edit : Ajout de deux sites pour lesquels login et mot de passe sont compromis

A l'issue de ces sites compromis il a été crée un programme pour détecter les likes instagram suspects et qui permet de les supprimer

https://github.com/ioantsaf/hacked_inst ... ses/latest

ATTENTION cependant avec les scripts sur Instagram. Ils peuvent vous bannir
Celui ci a été utilisé avec succès, mais il vaut mieux ne pas l'utiliser plusieurs fois par jour


Edit 2 :

Pour l'intégration pour ceux qui le souhaitent des filtres Nano dans ublock (sans risque)

https://jspenguin2017.github.io/uBlockProtector/
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Répondre

Revenir à « Securite informatique »