Dus … Ik was moe van het bladeren door de Ikea-website vanmorgen en probeerde een van hun visualisatietools te gebruiken. Ik kreeg een foutmelding dat ik draaide niet de nieuwste versie van Adobe Flash. Aanvankelijk aarzelend omdat ik een tijdje geleden over hun beveiligingsprobleem nadacht, dacht ik nog steeds “eh, ze moeten het nu opgelost hebben”. Ik ging naar de Chrome-winkel, zocht een Flash Player-extensie en als een freakin dumbass, nam de eerste die ik zag zonder naar de uitgever te kijken en het weinige aantal recensies voor zon extensie. Zodra deze was geïnstalleerd, opende deze een pagina voor een muziekwinkel uit of nergens. Dit is het moment waarop ik wist dat ik het verpest had …
Ik heb de extensie onmiddellijk verwijderd. Ik heb vanavond Brave verwijderd toen ik thuiskwam, alle resterende brave-mappen op mijn ssd verwijderd en een volledige systeemscan met Avast en een dreigingsscan met Malwarebytes (beide gratis versies) uitgevoerd. Er kwam niets uit. Ik heb ook gecontroleerd op een vreemd proces dat wordt uitgevoerd (via de taakbeheerder) en niets bijzonders gevonden. Moet ik me zorgen maken en moet ik nog iets anders doen?
De extensie in kwestie was Flash Player, aangeboden door flash player … Ja dat weet ik, dat had ik moeten zien …
Dank je, Oberom
Reacties
- Als u de eigenlijke extensiebestanden die u had geïnstalleerd had bewaard, zou het kunnen worden onderzocht om te zien of het alleen advertentiepaginas opende of meer snode dingen deed. In elk geval had het uw computer niet moeten kunnen infecteren.
- Dank je Angel voor je antwoord. Zelfs niet met een keylogger?
- Extensies zijn vrij beperkt in wat ze kunnen doen. Zonder enige kwetsbaarheid zouden ze niets buiten de browser moeten kunnen beïnvloeden.
Antwoord
Ik neem aan dat de extensie die je hebt geïnstalleerd was https://chrome.google.com/webstore/detail/flash-player/ooonkoejkmhiacbhhkdgfeemioceapbh
Het heet “Flash Player” en geeft aan dat het “s” wordt aangeboden b y: flash-speler “. Ik heb versie 1.1.3 gecontroleerd. Bij installatie opent het https://themusic[.]io/
De gevraagde rechten zijn:
- Lees en wijzig al uw gegevens op de websites die u bezoekt
- Beheer uw downloads
De muziekpagina die wordt geopend, omdat deze bij installatie https://flplayer[.]net/welcome , die daarheen verwijst. Bij het verwijderen wordt https://flplayer[.]net/uninstall geopend met de tekst “Sorry als we niet aan uw behoeften voldoen. Tot de volgende keer! “
Een andere interessante pagina is http://flplayer[.]net/config.php , waaruit het een aantal configuratie-opties haalt . Dit omvat een waarde met de naam analyticsId (“UA-117750115-1”), die een identifier lijkt voor Google Analytics (lijkt ongebruikt), en een mixpanelId (58410f8ab299e0eb2b736f6e233eda37) die wordt gebruikt als extendedAnalytics is ingesteld.
Een andere rare eigenschap die het heeft, is dat bij het renderen van de embed box, als het protocol https is, het de urls geeft via de pagina https://greatapptst[.]com/redirect.php?url=<url>
(die alles proxy)
Als de browser zelf bemiddelt wat de extensie kan doen, ik denk niet dat het ontsnapt was om een systeemprogramma te installeren (nee, ook geen keylogger). Hooguit had het wat informatie over je browser en paginas kunnen publiceren. Vooral over de paginas die u heeft bezocht na de installatie g het. Maar blijkbaar heb je het onmiddellijk verwijderd, dus zelfs in dat geval is er niet veel dat het had kunnen oogsten. Als je dat had gedaan, zou ik
Reacties
- Bedankt voor je tijd Angel. Ik denk dat ik ' m vrijuit ben. Ik zou in de toekomst voorzichtiger moeten zijn.