Så … Sliten meg surfer gjennom Ikeas nettside i morges og prøvde å bruke et av visualiseringsverktøyene deres. Fikk en feilmelding som sa at jeg kjørte ikke den siste versjonen av Adobe Flash. Motvillig til å begynne med fordi jeg tenkte på sikkerhetsproblemet deres for en stund siden, men jeg gikk fremdeles og tenkte «meh, de må ha løst det nå». en flash player utvidelse og som en freakin dumbass, tok den første jeg så uten å ta en titt på utgiveren og få få anmeldelser for en slik utvidelse. Så snart den ble installert, åpnet den en side for en musikkbutikk ute Det er da jeg visste at jeg tok opp …
Jeg har straks fjernet utvidelsen. Jeg avinstallerte Brave denne kvelden da jeg kom hjem, slettet alle gjenværende modige mapper på ssd og utførte en fullstendig systemskanning med Avast og en trusselskanning med Malwarebytes (begge gratisversjoner). Ingenting kom ut. Jeg har også sjekket for rare prosesser som kjører (via oppgavebehandling) og ikke funnet noe spesielt. Skal jeg være bekymret og er det noe annet jeg burde gjøre?
Den aktuelle utvidelsen var Flash Player, av flash player … Ja jeg vet, jeg burde sett det …
Takk, Oberom
Kommentarer
- Hadde du beholdt de faktiske utvidelsesfilene du installerte, kunne det undersøkes for å se om det bare åpnet annonsesider eller om det gjorde mer skumle ting. I alle fall burde det ikke vært i stand til å infisere datamaskinen din. >
- Takk Angel for svaret. Ikke engang med en keylogger?
- Utvidelser er ganske begrenset i hva de kan gjøre. Uten sårbarheter bør de ikke kunne påvirke noe utenfor nettleseren.
Svar
Jeg antar at utvidelsen du installerte var https://chrome.google.com/webstore/detail/flash-player/ooonkoejkmhiacbhhkdgfeemioceapbh
Den heter «Flash Player» og sier at den er «s» Tilbys b y: flash-spiller «. Jeg sjekket versjon 1.1.3. Ved installasjon åpner den https://themusic[.]io/
De forespurte tillatelsene er:
- Les og endre alle dataene dine på nettstedene du besøker
- Administrer nedlastningene dine
Musiksiden den åpnes fordi den ved installasjon åpnes https://flplayer[.]net/welcome , som omdirigerer dit. Ved avinstallasjon åpner den https://flplayer[.]net/uninstall som bare sier «Beklager hvis vi ikke passer til dine behov Vi sees neste gang! «
En annen interessant side er http://flplayer[.]net/config.php , hvorfra den henter en haug med konfigurasjonsalternativer Dette inkluderer en verdi som heter analyticsId («UA-117750115-1»), som virker som en identifikator for Google Analytics (virker ubrukt), og en mixpanelId (58410f8ab299e0eb2b736f6e233eda37) som brukes hvis utvidet analyse ble satt.
En annen merkelig funksjon den har, er at når protokollen er https når gjengivelse av innebygd boks, blir den gitt urlene gjennom siden https://greatapptst[.]com/redirect.php?url=<url> (som fullmakter noe)
Som nettleseren selv formidler hva utvidelsen kan gjøre, jeg tror ikke det kunne ha rømt å installere et systemprogram (nei, ikke en keylogger, heller). Det kunne høyst ha publisert litt informasjon om nettleseren din og sidene. Spesielt om sider du besøkte etter installasjon g det. Men tilsynelatende avinstallerte du det umiddelbart, så selv i så fall er det ikke så mye det kunne ha høstet. Hvis du hadde gjort det,
Kommentarer
- Takk for tiden din Angel. Jeg antar at jeg ' er klar. Jeg burde være mer forsiktig i fremtiden.