У многих современных сервисов есть собственные приложения и расширения для браузеров. Не является исключением и файлообменный сервис MEGA, который был создан небезызвестным Кимом Доткомом. Этот сервис появился на смену закрытому правительством США Megaupload и работает уже несколько лет без особых проблем. Конечно, у правообладателей возникают некоторые вопросы относительно правомерности размещения некоторых файлов, но в силу особенностей работы сервиса сделать с ним (пока) поборники копирайта пока ничего не могут.
Но на днях MEGA проштрафился — его расширение для браузера Chrome было скомпрометировано. Злоумышленники модифицировали расширение при помощи кода, который превратил Mega в похитителя пользовательских данных и криптовалюты.
Сейчас известно о проблеме с расширением версии 3.39.4, которое было выложено в каталог Chrome всего несколько дней назад. Представители Google уже успели вмешаться и удалили расширение из Chrome Web Store. Его также дезактивировали для всех пользователей браузера от Google. Если кто-то использует этот плагин, лучше дважды перепроверить, отключен ли он.
После детального изучения расширения обнаружилось, что оно активировало свой «скрытый талант» на таких сайтах и сервисах, как Amazon, Google, Microsoft, GitHub, MyEtherWallet и MyMonero. Кроме того, оно срабатывало на торговой площадке IDEX, представляющей собой криптовалютный обменник.
На этих сервисах расширение записывало логины, пароли пользователей, а также иные данные сессий, которые могли пригодиться злоумышленникам для использования учетных записей жертв в своих целях. В частности, авторы расширения могли переслать на свой кошелек криптовалюту жертвы, поскольку могли извлечь необходимые для этого приватные ключи.
Вся информация передавалась на сервер megaopac.host, физически расположенный на/в Украине.
После происшествия ситуацию прокомментировали представители MEGA. В частности, они заявили, что версия 3.39.4 была загружена в Chrome Web Store 4 сентября 2018 года. Сейчас она уже обезврежена, о чем уже говорилось ранее, а компания загрузила новую версию расширения, v3.39.5. Оно появилось через 4 часа после того, как стало известно о проблеме.
«Мы бы хотели извиниться за проблему. Сейчас мы изучаем причину случившегося», — заявили представители MEGA. В своем же блоге компания выразила сожаление по поводу того, что Google решил деактивировать «подписи» издателей расширений, и сейчас проверка производится при автоматической загрузке новых расширений в Web Store. По мнению некоторых специалистов, обновление в правилах безопасности по работе с расширениями снизило уровень защиты их пользователей.
К примеру, расширение MEGA для Firefox подписано и хранится на сервере самой компании, что, конечно, не сводит к нулю вероятность компрометации, но все же значительно ее снижает.
В принципе, это не первый случай взлома «белых» расширений для Chrome. Так, в прошлом году стало известно о компрометации Web Developer, расширения, предназначенного для разработчиков. Оно весьма популярным, год назад число пользователей Web Developer составляло около миллиона. Видимо, популярность расширения и привлекла взломщиков.
Тогда злоумышленник смог получить в свое распоряжение учетную запись автора Web Developer, после чего ему удалось добавить собственный код. После того, как модифицированное расширение было загружено в Web Store, любой из его пользователей инфицировался автоматически. К слову, год назад проблему тоже быстро выявили и локализировали — с момента обнаружения взлома до ликвидации инфицированного расширения прошло всего три часа.