如何評價 2017年5月27日 chrome 插件 infinity new tab 被黑事件?

The "Infinity New Tab" Chrome Extension appears to have been compromised and is apparently running a malware script ? r/Malware


關於"Infinity New Tab"開發者賬戶被盜事件始末及我們愚蠢的道歉

首先跟infinitynewtab的用戶說聲對不起,由於我們太愚蠢,導致賬戶被盜,給大家的使用帶來不便了。黑客主要在代碼中加入了彈窗廣告,除此之外沒有任何的影響,沒有盜號,沒有病毒。

首先跟infinitynewtab的用戶說聲對不起,由於我們太愚蠢,導致賬戶被盜,給大家的使用帶來不便了。黑客主要在代碼中加入了彈窗廣告,除此之外沒有任何的影響,沒有盜號,沒有病毒。

首先跟infinitynewtab的用戶說聲對不起,由於我們太愚蠢,導致賬戶被盜,給大家的使用帶來不便了。黑客主要在代碼中加入了彈窗廣告,除此之外沒有任何的影響,沒有盜號,沒有病毒。

好了,下面我們來說說這次事件的經過:

5月29號已經更新到6.0的版本,可以放心使用,如果版本低於6.0,趕緊更新到6.0的版本。

下面就來說說這次事件的經過。

  • 5月26號(星期五晚上)

gmail 郵箱突然收到一封郵件,大概看了一下,說是infinitynewtab被chrome 商店刪除了,一看到這個郵件心裏面就著急了啊。看到郵件中有個鏈接,說是查看被刪的原因,就是違法了Google隱私政策的原因。當時太著急了,太著急了,太著急了,導致於做出了如此愚蠢的行為,一路點過去,輸入賬號跟密碼。結果。。。賬戶就被盜了。但是,當天晚上並沒有發現不對,而是心裡在想,為啥被Google 商店移除了。違法了那條政策。去看Google商店也沒被刪除,心裡當時想著,難道有延遲嗎,就想著第二天好好研究下Google隱私政策。遂睡。郵件截圖:

  • 5月27號早上9點(星期六)

大早上,一起來,登陸開發者賬號,進入後台頁面,一看版本號怎麼變成3.12.22了,本來3點幾是作為目前正在開發的新版的版本號,突然感覺不對勁,再回到郵件仔細怎麼是chromewebstore.pro這個域名 ,再把這次3.12.22的版本下載下來看,裡面怎麼多了一個alert10.js的文件,卧槽,這下可慘了。確定賬戶被盜無疑了。於是趕緊把密碼改了。然後在進去後台,發現黑客又在發布3.12.5的版本,趕緊點了取消發布。這已取消發布,就顯示正在等待Google審核。如圖:

,取消發布後,發現肯定是黑客發現了infinitynewtab@gmail.com 這個郵件和開發者賬戶綁定到一起,於是把後台的郵件改成infinity@infinitynewtab.com了,防止別人再來給我們發釣魚郵件,當然經過這次事件後,以後開發這賬戶要單獨用一個,保證安全。

回過頭來,再看看這個alert10.js文件。(這是alert10.js的源碼。http://7nj2z0.com1.z0.glb.clouddn.com/alert10.js)

分析一下這個alert10.js,生成了一個年月的md5值,而且每隔一個小時就會彈窗一次,彈窗的內容就是如圖:

點擊確定就會跳到md5生成的這個鏈接,http://92fffe0ba52da491a2b7576627f3693a.pro/tds.php?subid=ce, 再去查這個鏈接的

發現這個域名是從namecheap購買的。於是乎趕緊聯繫namecheap的客服,說明情況後,namecheap把這個域名給封了。

  • 5月27號11點

趕緊聯繫Google的人,找郵件,發郵件。

郵件發出去了,卻沒有任何音訊。今天tmd 周六,Google不上班。

於是乎,給用戶發通知,和找Google的聯繫方式,

臨時做了一個簡陋的告知信息頁面 (關於黑客入侵),讓用戶卸載3.12.22的版本,從官網下載2.xx的離線版本。(可能有很多用戶沒收到通知,再給大家道歉)

另一方面,找Google的工作人員,最後在知乎上找到了Google的工作人員,願意幫我們發內部郵件。自己寫了一封英文郵件,他幫忙轉發。

在此感謝知乎這個平台。感謝幫助的人。然後進入等待中。。。。。

  • 5月29號下午(星期一)

不斷刷新後台看Google的審核狀態。Google審核通過了,是把之前黑客發布的3.12.25的版本通過了,趕緊把準備的正常版本6.0,發布上去,用6.0的版本替換3.12.25的版本,這裡再說明下,很多用戶可能又從2.xx的版本或者3.12.22的版本升級到了3.12.25的版本,導致很多用戶產生了誤解,說升級後還有彈窗,因為3.12.25的版本也是黑客發布的。如果你還是3.12.22或者3.12.25的版本,請及時更新到6.0的版本。

到此事件告一段落,再次給大家說聲抱歉了,由於我們的大意,給大家的使用帶來不便了。

另外,大家以後上網也要保護好自己賬戶的安全,現在釣魚郵件太多,陌生人發的郵件鏈接,千萬不要隨便點,陌生人發的郵件鏈接,千萬不要隨便點,陌生人發的郵件鏈接,千萬不要隨便點,

最後再次感謝大家對infinitynewtab的支持。

最後一定要從官網Infinity New Tab 或者從chrome商店下載 https://chrome.google.com/webstore/detail/infinity-new-tab/dbfmnekepjoapopniengjbcpnbljalfg。 切勿從其它渠道下載。


Chrome 擴展根本沒有發布前的人工審核,導致這類事件的發生成為可能。當然,如果擴展程序作者這邊不出岔子,發布效率那的確是很高的。

Firefox 擴展正式發布前會經過嚴格審核。對 XSS 等常見攻擊方式不僅有自動代碼掃描,更會有專人查看源碼。我之前提交了一個自定義打包的 hljs,審核員甚至要求我指導他如何在本地搭建我項目的打包環境,以證明編譯結果是否的確由我提交的源碼打包生成。所以不可避免的,審核工作量會很大,作者要發布一個新版本可能要排很久的隊。

Opera 有人工審核,但是肯定不如 Firefox 嚴格。Edge 目前還不開放擴展的自由提交,上架的擴展都是官方挑選出的合作方開發的,所以審核機制尚不公開。Apple 要向為 Safari 開發擴展的開發者每年收取 99 美元,所以我也不了解。


網路安全採用非對稱加密的證書體系是必由之路。但是有答案也說了,用戶就會怕麻煩,總會想個辦法繞過去。最後的一個結果就是硬體封閉體系,讓用戶繞不過去,同時 OS 盡量做得友好一些。但是這樣又會觸發人們對「大公司」的不信任感。CMU 教授的科幻小說《彩虹盡頭》對這個問題也做了很多描寫。


看來任何store都應該強制開發者做pgp簽名. 上傳經過簽名的打好包的插件或者要求每一次代碼commit都要經過pgp簽名. (git有這個功能, 不過我很少見有人用... )

密碼實在是太容易被社工了, 強制pgp之後別人以任何形式管你要你輸入私鑰, 大家都能第一時間反應出來這是騙子.

還有, 這是ubuntu的鍋...

(繼續躺屍


官網上掛了個緊急通知,下載離線版解解決,然而官網還是HTTP的,要是黑客劫持了DNS。。。

難怪會出安全問題,主要還還是沒把安全放在心上。


用遠方的吃瓜群眾,默默點個臘


剛發現的時候雖然聽從了建議用安全模式確定了是擴展問題,但因為原生和其他套殼沒出現這種情況,所有沒想到這茬(我用cent),最後刪掉所有擴展重新同步發現infinity裝不上才知道原來問題出在這

-------------------------------------------

5.29更新:

又出幺蛾子了,27號剛卸載掉重新裝了他們官網的版本,今天又被升級到3.12.5(被感染的是3.12.3),以為已經弄好了,結果過了一會,又出現了前天相同的狀況。上商店看了幾條今天的評論,果然不止我一個人。一個問題連續出現2次,愛慕安規


很想知道問什麼, 20天左右後(6 月 12 號)又一次被黑是為什麼? 直接被重鏈接到Oracle Solaris 11.3 Information Library


Comodo的Internet Security Essentials也報毒了… 以為毛豆日常抽風


首先按照@gh guang 所言,等到發現不對勁了才注意到郵箱地址有問題,這時候只能確定你中招的事實,對於其他任何事都沒有幫助,

一般重大問題,第一眼確定郵箱地址的可信性是最關鍵,也是最重要的第一步,而且絕對不要太相信郵箱顯示的名字,因為那都是對方自定義的,

在沒有確定郵件來源可靠的前提下,就慌忙點擊了進去,還順著對方引導一路輸入帳號密碼,只能說自身防範意識太淺薄了,

從整個所述的事發經過來看,開發者自身的防範意識真的太不足了,會收到釣魚郵件這是自身避免不了的,但是一步一步按照別人的路走,真是太不小心了,

當然另一點就是大家提到的,谷歌插件沒有驗證,任何賬號持有者都可以隨便上傳,也在一定程度存在安全風險,

與其說谷歌在這方面有不足的話,其實開發者本身掉以輕心才是一切的根源。


這次事件後官方的公告力度不夠大啊 出問題後官網沒有明確的標識 折騰一圈還是在國內某個盜版軟體論壇看到的消息


常年用戶,節前最後一個工作日遇到這個bug,為了排查問題臨時禁用了ublock和tempermonkey,還是有問題。又安裝了360國際版和另一個搜索得到的殺毒軟體,全盤查殺,直到下班趕火車回家也沒解決。

說實話挺失望的,因為我懷疑了一圈也沒想到居然是這個標籤頁插件導致了這個問題。這可是辦公電腦啊,當時真的以為是中了利用nsa流露出來的什麼牛逼漏洞的惡意軟體,當時嚇得魂不附體還趕緊備份了一波數據,又要趕火車回家。現在才知道是虛驚一場。

明天上班還得刪掉那兩個殺毒軟體,不知道又得重啟多少次。


那天正用著谷歌瀏覽器 突然發現每次打開一個網頁就彈出一個提示!歐買噶 我還以為惡作劇 然後在52看到說中毒 至今都沒卸載插件 我們的信息會被盜么?


同發現有問題, 回憶了一下這兩天的操作, 就斷定肯定是擴展問題, 然後就把擴展 infinity new tab 給禁用了...


公司電腦我就用這個插件,整體給我報錯說我中毒了。後來才知道怎麼回事,立刻刪插件。。。


@柳易寒 都被封號了


推薦閱讀:

iphone5被偷了,在不刷機的前提下,小偷是怎麼破解了開機密碼的?
給定一段16進位碼密文,如何判斷其所用加密演算法?
電腦中了勒索病毒,辦公文件全部變成了.Cerber3/B477加密文件,怎麼辦?如何解密?
如何評價《中國移動,請你告訴我,為什麼一條簡訊就能騙走我所有的財產》暴露的個人信息安全隱患?
通過實體安全密鑰而非密碼登陸的安全性以及通用性究竟如何?

TAG:GoogleChrome | 網路安全 | 信息安全 | Chrome擴展程序 | 密碼安全 |