«Яндекс» отключил SaveFrom, Frigate и другие расширения в своём браузере — они могли перехватывать доступ ко «ВКонтакте» Статьи редакции
И использовали пользователей для накрутки просмотров видео.
SaveFrom.net, Frigate Light, Frigate CDN и некоторые другие расширения содержат потенциально вредоносный код, выяснили «Яндекс» и «Лаборатория Касперского». Об этом vc.ru рассказали в интернет-компании.
Расширения используют пользователей для накрутки просмотров роликов на разных площадках, включая рекламные видео. Ролики воспроизводятся на компьютере тайно — в беззвучном режиме на фоновой странице, рассказали в «Яндексе». Загрузка видео тратит существенный график и создаёт нагрузку на вычислительные ресурсы компьютера, объяснили в компании.
Схема запускалась только при активном использовании браузера, а код включал в себя защиту от обнаружения, добавил представитель «Яндекса».
Кроме того, «Яндекс» и «Касперский» нашли в исходном коде функции, которые могут использоваться для перехвата oAuth-токенов «ВКонтакте». В коде также есть механизм, который позволяет динамически загружать и выполнять любой произвольный код без обновления самих расширений и в обход модерации каталогов.
Вредоносный код обнаружен в более чем 20 расширениях, «Яндекс.Браузер» отключил их поддержку. Продукты «Лаборатории Касперского» будут опознавать эти расширения как угрозу и блокировать связанные с ней URL-адреса и фрагменты скриптов.
Компании передали результаты исследования разработчикам «ВКонтакте» и популярных браузеров. Включить расширения, несмотря на угрозу, можно в разделе «Дополнения» в настройках «Яндекс.Браузера», но компания не рекомендует этого делать.
Полный список расширений с вредоносным кодом есть в блоге «Яндекса» на «Хабре».
Получается Яндекс не проверяет расширения перед размещением.
Этот код подгружался потом, скрытно и динамически. Эти расширения есть во всех сторах - Яндекса, Гугла, Оперы (Firefox не проверяли).
А как вы накатили изменение без обновления браузера? Тоже динамическое обновление? :)
У нас есть серверные конфиги, которые позволяют включать и отключать заранее написанные функции без обновления браузера. В данном случае мы как раз задействовали функцию отключения расширения, которую сделали много лет назад на случай, подобный этому. Динамического применения бинарного кода без обновления браузера у нас нет, если вы про это.
А того кода, который на JS?
Ну у нас часть браузера, как и у всех в наше время, сделана на веб-технологиях, в том числе на js, который с сервера грузится. Дзен, скажем, который на странице новой вкладки. Там можно обновить js без обновления браузера, да, но я не очень понимаю, к чему вы клоните. Да, веб-сервисы можно обновлять без скачивания новой версии браузера. И что? )
Все хорошо. Просто за 2 последних дня случилось несколько вещей:
1) Мы разрабатываем веб-сервис, несколько дней назад он начал нереально тормозить
2) Мы ловили баг в нашем коде, а баг воспроизводился только у меня
3) Я отключил почти все расширения кроме грамарли и frigate (для linkedin'а, когда не включен VPN)
4) Потом когда я выключил граммарли, все начало летать. Ну мы подумали, что это связано с тем, что граммарли отправляет запросы на каждый ввод текста
5) Хотя сегодня проблемы воспроизводились
6) Затем я получил уведомление от вас, frigate пропал, браузер начал летать
7) Мы выдохнули
8) Затем появилась эта статья
Вспоминая в прошлом, я помню что гуглит запросы "яндекс.браузер открывает новые вкладки сам?", потому что раньше у меня такое было. И ответ на Яндекс.Кью говорил о том, что скорее всгео дело в расширениях.
В общем, спасибо за апдейт. Я искренне был уверен, что приложения ревьювятся в Chrome Store на предмет того, что описано. Оказалось нет. Ну, а потом задумался обо всех этих обновлениях на лету и т.д.
И о том, что вот есть у Я.Браузера сейчас ревью сайтов (отзывы и т.д.). Он же тоже собирает данные о моих визитах.
Короче, у меня паранойя включилась :)