Så … Trött mig bläddrade igenom Ikeas webbplats i morse och försökte använda ett av deras visualiseringsverktyg. Fick ett felmeddelande som sa att jag körde inte den senaste versionen av Adobe Flash. Motvilligt först eftersom jag tänkte på deras säkerhetsproblem för ett tag sedan, jag fortsatte fortfarande med att tänka ”meh, de måste ha fixat det nu”. Jag gick till krombutiken, letade efter en flash-spelareutvidgning och som en freakin dumbass, tog den första jag såg utan att titta på utgivaren och få antal recensioner för en sådan tillägg. Så snart den installerades öppnade den en sida för en musikbutik ute ingenstans. Det här är när jag visste att jag fackade upp …
Jag har omedelbart tagit bort tillägget. Jag avinstallerade Brave i kväll när jag kom hem, raderade alla återstående modiga mappar på min SSD och utförde en fullständig systemsökning med Avast och en hotsökning med Malwarebytes (båda gratisversionerna). Ingenting kom ut. Jag har också kollat på någon konstig process som körs (via uppgiftshanteraren) och hittat inget särskilt. Ska jag vara orolig och finns det något annat jag ska göra?
Tillägget i fråga var Flash Player, erbjuds av flash player … Ja jag vet, jag borde ha sett det …
Tack, Oberom
Kommentarer
- Hade du behållit de faktiska tilläggsfilerna du installerade, kunde det undersökas för att se om det bara öppnade annonssidor eller om det gjorde mer onödiga saker. I alla fall borde det inte ha kunnat infektera din dator.
- Tack Angel för ditt svar. Inte ens med en keylogger?
- Tillägg är ganska begränsade vad de kan göra. Utan några sårbarheter borde de inte kunna påverka något utanför webbläsaren.
Svar
Jag antar att tillägget du installerade var https://chrome.google.com/webstore/detail/flash-player/ooonkoejkmhiacbhhkdgfeemioceapbh
Det heter ”Flash Player” och anger att det är ”s” Erbjuds b y: flash-spelare ”. Jag kollade version 1.1.3. Vid installation öppnas https://themusic[.]io/
De begärda behörigheterna är:
- Läs och ändra all din information på de webbplatser du besöker
- Hantera dina nedladdningar
Musiksidan som öppnas eftersom den vid installation öppnas https://flplayer[.]net/welcome , som omdirigerar dit. Vid avinstallation öppnar den https://flplayer[.]net/uninstall som helt enkelt säger ”Ledsen om vi inte passar dina behov Vi ses nästa gång! ”
En annan intressant sida är http://flplayer[.]net/config.php , från vilken den hämtar en massa konfigurationsalternativ Detta inkluderar ett värde som heter analyticsId (”UA-117750115-1”), som verkar vara en identifierare för Google Analytics (verkar oanvänd) och en mixpanelId (58410f8ab299e0eb2b736f6e233eda37) som används om utökad analys har ställts in.
En annan konstig funktion som den har är att om man gör rendering av inbäddningsrutan, om protokollet är https, ger det webbadresserna genom sidan https://greatapptst[.]com/redirect.php?url=<url> (som proxyserverar allt)
Som webbläsaren själv förmedlar vad tillägget kan göra, jag tror inte att det kunde ha lyckats med att installera ett systemprogram (nej, inte heller en keylogger). Högst kunde det ha publicerat lite information om din webbläsare och sidor. Speciellt om sidor du besökte efter installationen g det. Men uppenbarligen avinstallerade du det omedelbart, så även i så fall kunde det inte ha skördats mycket. Om du hade gjort det, jag
Kommentarer
- Tack för din tid Angel. Jag antar att jag ' är klart och tydligt. Jag borde vara mer försiktig i framtiden.