čtvrtek 23. dubna 2015

Jak jsem se hloupě nechal hacknout přes prohlížeč v Linuxu

Tak jsem si dobrovolně nechal hacknout můj klíčový pracovní stroj, jen vlastní důvěřivostí a hloupostí. V nejbezpečnějším prohlížeči na světě zvaném Google Chrome, běžícím v bezpečném operačním systému Ubuntu, bez návštěv pochybných stránek na Internetu, jsem měl pocit sucha a bezpečí jako uvnitř Alcatrazu - že na mě nikdo nemůže, že jsem fakt dobře zabarikádovaný a nedobytný.

A pak jsem si před měsícem nainstaloval rozšíření Adblock Super (verze 2.7.4) a liboval si, jak mi ubylo reklamy na webu. Jenže před pár dny se mi začaly po kliku na odkazy otevírat úplně jiné stránky plné reklam na nějaké online gamesky. Tušil jsem, odkud vítr vane, tak jsem zakázal to jediné rozšíření, které jsem měl, ale nepomohlo to. Dál mi něco předělávalo stránky tak, že po kliku na normální odkazy jsem končil úplně jinde v reklamním pekle.

Začal jsem tedy pátrat online po podobně postižených. Zatímco pro Windows se dá najít několik nástrojů, které rádoby odstraňují různé podobně problémové situace, pro Linux neexistuje  nic - což je logické, neboť Linux se nedá zavirovat, že? Nakonec jsem našel vlákno v google product fóru, kde pár nešťastníků popsalo něco velmi podobného, co pronásleduje mě, ale řešení veskrze žádné - snad jen promazat ~/.cache/chrome a pak to prý přestane.

Nezbylo mi než se na podívat pořádně sám. Dobrá pomoc je, když v chrome://extensions povolíte "Režim pro vývojáře". U povolených rozšíření se objeví možnost "Zkontrolovat zobrazení" a URL. Pokud to URL obsahuje "background.html", tak běží v pozadí.


A když jsem otevřel background.html od Adblock Super, našel jsem tam kromě jeho 10+6 skriptů ještě jeden zjevně navíc: sosá z "https://cdn.dreamnetworld.com" soubor "extend.js":


A tento skript obsahuje funkci popupSnooze() a ta už jednou za několik hodin náhodně vkládá ty po***né (nevyžádané) reklamy:


Děsivé je, že na to jednak není žádná detekce (ani čerstvě nainstalovaný Extension Defender nic nenašel) a dále že nepomůže ani vypnout to nakažené rozšíření, background.html dál zjevně běží a škodí. WTF Google?

A jak může mít +Google Chrome ve vlastním Obchodě nakažené rozšíření? Kde to jsme?


Největší smrt je, že to může zjevně dělat s jakoukoliv stránkou cokoliv, tedy například číst údaje z mnou zadávaných platebních karet (když platím online), zná to login a heslo mého internetové bankovnictví, PayPalu, Bitcoin peněženky atd. Docela děsivé. Zbořil se mi mnohaletý mýtus o bezpečném operačním systému Ubuntu GNU/Linux a bezpečném prohlížeči Google Chrome. Zdá se, že jedinou možností, jak se aspoň trochu chránit, je odstranit z prohlížeče všechna rozšíření mající právo editovat jakékoliv stránky a používat ho bez nich, tak jak ho vydal výrobce.


P.S. možnost, že Adblock Super je v Chrome Webstore "čistý" a něco ho nakazilo až u mě na počítači raději ani neuvažuju - to by totiž bylo ještě mnohem horší...

EDIT: rozhodl jsem se to přece jen ověřit a na jiném počítači jsem se jal instalovat Adblock Super. Helemese - necelou hodinu po vydání tohoto blog postu je v Chrome Webstore naráz úplně jiná verze!


40x menší instalační soubor, major verze o jedničku nižší... Tak tomu říkám změna. Vtipné je, že kvůli menší verzi (1.3 < 2.7.4) nedojde k automatické aktualizaci u lidí, kteří už tu prokletou verzi s malware nainstalovanou mají.

ROTFL, tak ta "nová" verze je ještě horší. Sice už nemodifikuje cizí stránky, na rozdíl od té "mé" verze:


Za to ale obsahuje místo slibované funkčnosti jen zběsilé otevírání reklamních oken:


Takže jsem si nyní 100% jistý, že už ta verze 2.7.4 byla výrobcem nakažená, a teď se to snaží takto zamaskovat či "vylepšit"...

Z instalace rozšíření do prohlížeče jsem tímto definitivně vyléčen.