Видео: MEGA обновляет троянское расширение Chrome до более чистой версии 3.39.5
2024 Автор: Kayla Nelson | [email protected]. Последнее изменение: 2023-12-17 01:34
Троянское расширение MEGChrome было обновлено до более чистой версии 3.39.5 после того, как неизвестный злоумышленник загрузил троянскую версию в интернет-магазин Google Chrome 4 апреля.th сентября. После автообновления или установки расширение Chrome запросит повышенные разрешения, которые изначально не требуются для настоящего расширения. В случае предоставления разрешения он извлекал учетные данные таких веб-сайтов, как live.com, amazon.com, github.com и google.com, mymonero.com, myetherwallet.com, idex.market и запросы HTTP Post на сервер других сайтов, который был находится в Украине.
Через четыре часа после взлома MEG незамедлительно принял меры и обновил троянское расширение более чистой версией 3.39.5, тем самым автоматически обновив затронутые установки. Из-за этого нарушения Google удалил это расширение из интернет-магазина Chrome через пять часов.
В соответствующем блоге MEG была указана причина этого нарушения безопасности и частично возложена вина на Google: «К сожалению, Google решил запретить подписи издателей в расширениях Chrome и теперь полагается исключительно на их автоматическую подпись после загрузки в Интернет-магазин Chrome, что устраняет важный барьер для внешнего компромисса. MEGAsync и наше расширение Firefox подписаны и размещены нами, поэтому они не могли стать жертвой этого вектора атаки. Хотя наши мобильные приложения размещены на серверах Apple / Google / Microsoft, они подписаны нами криптографически и, следовательно, также защищены ».
Согласно блогу, это нарушение затронуло только тех пользователей, у которых на момент инцидента на компьютере было установлено расширение MEGChrome, было включено автоматическое обновление и было принято дополнительное разрешение. Кроме того, если версия 3.39.4 была установлена недавно, троянское расширение повлияло бы на пользователей. Еще одно важное замечание для пользователей было сделано командой MEG: «Обратите внимание, что если вы посетили какой-либо сайт или использовали другое расширение, которое отправляет учетные данные в виде обычного текста через запросы POST, либо путем прямой отправки формы, либо через фоновый процесс XMLHttpRequest (MEG не один из них), когда троянское расширение было активным, учтите, что ваши учетные данные были скомпрометированы на этих сайтах и / или в приложениях ».
Однако это не повлияет на пользователей, которые заходят на https://mega.nz без расширения Chrome.
В заключительной части своего блога Megdevelopers извинились за неудобства, причиненные пользователям в связи с этим конкретным инцидентом. Они утверждали, что везде, где это возможно, MEG использовала строгие процедуры выпуска с проверкой кода несколькими сторонами, криптографическими подписями и надежным рабочим процессом сборки. MEG также заявила, что активно расследует характер атаки и то, как злоумышленник получил доступ к учетной записи Chrome Web Store.
Рекомендуемые:
Стороннее расширение Windows Timeline Support для Google Chrome теперь доступно в бета-версии
Хронология Windows 10 - это функция, которая позволяет вернуться во времени и возобновить то, что вы делали ранее. Он ведет учет программ, документов
Netrunner 2018.08 обновляет KDE и обновляет Krita до версии 4.x
Netrunner - это дистрибутив на основе Debian, который включает настраиваемый рабочий стол KDE и широкий спектр приложений, кодеков и подключаемых модулей, все с дружественным интерфейсом
Новое расширение для браузера Fanatical поможет вам находить более дешевые игры
Об интернет-магазине Fanatical знают довольно активно работающие в игровой индустрии компьютерные геймеры. Базирующаяся в Великобритании компания Fanatical - это онлайн
AMD обновляет процессоры Ryzen 2-го поколения с помощью линейки Pro с более низким использованием TDP на Pro 2700X
После хорошо принятого запуска AMD ранее выпущенных процессоров еще в апреле этого года. Они используют тот же подход, что и с
Q4OS V2.6 обновляет Trinity до версии 14.0.5
Дистрибутив Linux Q4OS на основе Debain только что выпустил свою версию 2.6. Это обновление, все еще являющееся частью ветки версии 2.x, ничего не добавляет