«Яндекс» отключил SaveFrom, Frigate и другие расширения в своём браузере — они могли перехватывать доступ ко «ВКонтакте» Статьи редакции
И использовали пользователей для накрутки просмотров видео.
SaveFrom.net, Frigate Light, Frigate CDN и некоторые другие расширения содержат потенциально вредоносный код, выяснили «Яндекс» и «Лаборатория Касперского». Об этом vc.ru рассказали в интернет-компании.
Расширения используют пользователей для накрутки просмотров роликов на разных площадках, включая рекламные видео. Ролики воспроизводятся на компьютере тайно — в беззвучном режиме на фоновой странице, рассказали в «Яндексе». Загрузка видео тратит существенный график и создаёт нагрузку на вычислительные ресурсы компьютера, объяснили в компании.
Схема запускалась только при активном использовании браузера, а код включал в себя защиту от обнаружения, добавил представитель «Яндекса».
Кроме того, «Яндекс» и «Касперский» нашли в исходном коде функции, которые могут использоваться для перехвата oAuth-токенов «ВКонтакте». В коде также есть механизм, который позволяет динамически загружать и выполнять любой произвольный код без обновления самих расширений и в обход модерации каталогов.
Вредоносный код обнаружен в более чем 20 расширениях, «Яндекс.Браузер» отключил их поддержку. Продукты «Лаборатории Касперского» будут опознавать эти расширения как угрозу и блокировать связанные с ней URL-адреса и фрагменты скриптов.
Компании передали результаты исследования разработчикам «ВКонтакте» и популярных браузеров. Включить расширения, несмотря на угрозу, можно в разделе «Дополнения» в настройках «Яндекс.Браузера», но компания не рекомендует этого делать.
Полный список расширений с вредоносным кодом есть в блоге «Яндекса» на «Хабре».
Вот этим и хорош Apple Appstore - проверкой кода приложения перед публикацией, чтобы никакой зловред не пробрался. Вряд ли в Яндексе введут подобное.
Это можно, но тогда нельзя будет устанавливать аддоны из того же хрома или вообще самописные. Нет уж, пусть остаётся как есть, яблочники пусть обмазываются "безопасностью" сколько хотят
Одно другому не мешает. На Сафари, например, можно устанавливать эдд-оны, и они проходят проверку. Это плюс.
Так там только официальные и если разработчики прям сильно заморочатся. Не для мелких разработчиков это. Из-за этой штуки у меня теперь в Safari нет VKOpt, так как его, понятное дело, нет в Апп Сторе, а в обход него расширение никак не установить. Единственный возможный вариант - через приложения для встраивания пользовательских скриптов, но у меня не получилось, скорее всего надо как-то самому код править, чтобы заработало.
А вы уверены, что с этим плагином все чисто, и он не передаёт ваши пароли, куда вы не хотите их передавать? А потом юзеры удивляются, как из аккаунт взломали тут или там.