Então … Cansado, estava navegando no site da Ikea esta manhã e tentei usar uma de suas ferramentas de visualização. Recebi uma mensagem de erro dizendo que eu não estava executando a última versão do Adobe Flash. Relutante no início porque pensei sobre o problema de segurança deles há um tempo, ainda continuei pensando “caramba, eles devem ter consertado agora”. Fui à loja de cromo, procurei uma extensão do flash player e como um idiota doido, peguei o primeiro que vi sem olhar para a editora e o pequeno número de comentários sobre essa extensão. Assim que foi instalada, abriu uma página para uma loja de música do nada. Foi quando eu soube que me fodi …
Removi imediatamente a extensão. Desinstalei o Brave esta noite ao voltar para casa, apaguei todas as pastas restantes do Brave em meu ssd e executei uma verificação completa do sistema com o Avast e uma verificação de ameaças com o Malwarebytes (ambas as versões gratuitas). Não saiu nada. Também verifiquei se há algum processo estranho em execução (por meio do gerenciador de tarefas) e não encontrei nada de especial. Devo me preocupar e há mais alguma coisa que devo fazer?
A extensão em questão era Flash Player, oferecida por flash player … Sim, eu sei, eu deveria ter visto isso …
Obrigado, Oberom
Comentários
- Se você mantivesse os arquivos de extensão reais que instalou, eles poderiam ser examinados para ver se apenas abriam páginas de anúncios ou se faziam coisas mais nefastas. Em qualquer caso, não deveria ser capaz de infectar seu computador.
- Obrigado, anjo, pela sua resposta. Nem mesmo com um keylogger?
- As extensões são bastante limitadas no que podem fazer. Sem quaisquer vulnerabilidades, elas não devem ser capazes de afetar nada fora do navegador.
Resposta
Presumo que a extensão que você instalou foi https://chrome.google.com/webstore/detail/flash-player/ooonkoejkmhiacbhhkdgfeemioceapbh
É denominado “Flash Player” e afirma que é “s” Oferecido b y: flash player “. Verifiquei a versão 1.1.3. Na instalação, ele abre https://themusic[.]io/
As permissões solicitadas são:
- Leia e altere todos os seus dados nos sites que você visita
- Gerencie seus downloads
A página de música que abre porque na instalação abre https://flplayer[.]net/welcome , que redireciona para lá. Na desinstalação, ele abre https://flplayer[.]net/uninstall que simplesmente diz “Desculpe se não atendermos às suas necessidades Nos vemos na próxima vez! “
Outra página interessante é http://flplayer[.]net/config.php , a partir da qual busca várias opções de configuração . Isso inclui um valor denominado analyticsId (“UA-117750115-1”), que parece um identificador do Google Analytics (parece não usado), e um mixpanelId (58410f8ab299e0eb2b736f6e233eda37), que é usado se extendedAnalytics foi definido.
Outra característica estranha que tem é que ao renderizar a caixa de incorporação, se o protocolo for https, ele fornece os urls através da página https://greatapptst[.]com/redirect.php?url=<url>
(que faz proxy de qualquer coisa)
Como o O próprio navegador medeia o que a extensão pode fazer, eu não acho que ela poderia ter escapado para instalar um programa de sistema (não, nem um keylogger). No máximo, ele poderia ter publicado algumas informações sobre seu navegador e páginas. Especialmente sobre o páginas que você visitou após a instalação g it. Mas, aparentemente, você o desinstalou imediatamente, então, mesmo nesse caso, não havia muito que ele pudesse colher. Se você tivesse, eu
Comentários
- Obrigado pelo seu tempo, anjo. Acho que ' estou em aberto. Devo ser mais cuidadoso no futuro.