Awesome-screenshot

Rozšírenie Awesome screenshot vás špehuje

Máte radi svoje súkromie? Aj spoločnosť Similarweb ho má určite rada. V dnešnom blogu sa Vás pokúsime varovať pred rozšírením populárneho prehliadača Chrome, ktoré Vás okrem iného špehuje.

Určite ste už niekoľko krát potrebovali odfotiť obrazovku svojho počítača a poslať ju Vášmu blízkemu, kolegovi, známemu, atď. Tvorbu screenshotov Vám uľahčia rôzne tzv. “snipping tools“, predstavujúce softvérové nástroje, ktoré dokážu snímok nielen odfotiť ale aj orezať a následne ho uložiť vo Vašom obľúbenom grafickom formáte. Tieto súbory potom môžete neskôr nahrať na obrázkový hosting alebo cloudovú službu, prípadne poslať mailom.

Človek je tvor lenivý a ocení nástroj, ktorý zvládne všetky spomenuté akcie v jednom. Jedným z nich je pomerne obľúbené rozšírenie Awesome screenshots. Jeho obľúbenosti nasvedčuje štatistika s viac ako 1 303 000 stiahnutí používateľmi. Odvrátenou stránkou tohto softvéru je, že Vás špehuje. Awesome screenshot zaznamenáva každú navštívenú adresu a spolu s metadátami ju odosiela na servery spoločnosti Similarweb. Tieto informácie sú stávajú zaujímavým materiálom a potenciálnym predmetom ďalšieho predaja pre spoločnosti tretích strán.

Awesome screenshot je teda klasickou ukážkou spyware. Spyware je definovaný ako počítačový program, prípadne jeho rozšírenie, ktoré bez vedomia používateľa pokúša „vyšpehovať“ citlivé dáta z počítača. Tieto dáta následne vynáša tretej strane, znovu bez vedomia používateľa.

Ako tento spyware funguje?

Nasledujúce obrázky znázorňujú odchádzajúce požiadavky POST na servery s821.crdui.com a 821.crdui.com.

awesome

awesome

Doména crdui.com je registrovaná cez godaddy.com, po zadaní linky do prehliadača nasleduje presmerovanie na http://t2.webovernet.com/service2. Webovernet.com vlastní firma Similarweb, ktorá s Vašimi údajmi zaobchádza podľa vlastného uváženia.

V odosielaných požiadavkách je najväčšim parametrom parameter e. Po dvojtom dekódovaní pomocou base64 sme získali nasledovné údaje:

s=1821&md=21&pid=njgPlkgPyO&sess=186081867199391140&sub=chrome&q=https://www.citadelo.sk/&tmv=4002.1&tmf=1&r=http://citadelo.sk/

Tie sme podrobili analýze a pokúsili sa odhadnúť ich význam:

Parameter Hodnota Význam
s 1821,821 identifikátor servera
md 21 konštanta
pid njg7v2uxPlgtPyO identifikátor používateľa
sess 186081867199391140 číslo relácie
sub chrome použitý prehliadač
q https://www.citadelo.sk/ URL (adresa navštívenej stránky)
tmv 4002.1 konštanta
tmf 1 ak je nastavený referer tak 1 inak 0
r http://citadelo.com/ http referer (adresa predchádzajúcej web stránky, z ktorej bola požiadavka na navštívenú stránku generovaná)

Počas skúmania zdrojového kódu rozšírenia sme narazili na časti, ktoré sa starajú o funkcionalitu spyware-u. Z úryvku zdrojového kódu uvedeného nižšie je zrejmé, že naše odhady boli správne. Pokiaľ by ste si to chceli vyskúšať a nazrieť do samotného zdrojového kódu rozšírenia, stačí si v nastaveniach rozšírení povoliť Developer mode. Súbor, ktorý by ste určite nemali prehliadnuť je tr.js.

var data = "s=" + SIM_Config_BG.getSourceId() + "&md=21&pid=" + utils.db.get("userid") + "&sess=" + SIM_Session.getSessionId() + "&q=" + encodeURIComponent(tab_url) + "&prev=" + encodeURIComponent(res_prev_url) + "&link=" + (ref ? "1" : "0")
+ "&sub=chrome&hreferer=" + encodeURIComponent(ref);
data = data + "&tmv=" + SIM_ModuleConstants._TMV;
data = SIM_Base64.encode(SIM_Base64.encode(data));
data = "e=" + data;
var url = utils.db_tmv.get("server") + "/related";
utils.net.post(url, "json", data, function(result) {
log.INFO("Succeeded in posting data");
tabs_prevs[tabId] = tab_url
}, function(httpCode) {
log.INFO("Failed to retrieve content. (HTTP Code:" + httpCode.status + ")");
log.ERROR("ERROR 8004 ??");
tabs_prevs[tabId] = tab_url
})

.

Hrozby

V tom lepšom prípade vám “hrozí” len reklama šitá na mieru. Avšak prípadné dlhodobé sledovanie používateľa umožní spoločnostiam vyprofilovať jeho správanie, ba dokonca k zozbieraným dátam priradiť jeho reálnu identitu. Program Google Developer pritom v sekcii venovanej rozšíreniam jasne tvrdí, že “Nepovoľujeme neautorizované publikovanie súkromia a dôverných informácií, ako sú napríklad čísla kreditných kariet, čísla občianskych preukazov, vodičských preukazov ani iné informácie, ktoré nie sú verejnosti inak dostupné.” V ďalšom zo scenárov môže dôjsť ku krádeži identity. Niektoré aplikácie prenášajú identifikátor relácie (session id) priamo v URL. Takéto správanie odporuje dobrým bezpečnostným praktikám a dá sa predpokladať, že bezpečnosť takej aplikácie nebude dobrá ani v iných ohľadoch. Faktom ale ostáva, že pri takej aplikácii z Vášho systému uniká všetko potrebné na to, aby ľudia zo Similarweb ukradli vašu identitu.

Pokiaľ máte Awesome Screenshot nainštalovaný odporúčame ho okamžite odinštalovať.

About the author

Citadelo
Citadelo je dom plný etických hackerov na vašej strane. Pomáhame otestovať ich informačnú bezpečnosť. Podrobte svoje IT prostredie výzve a odhaľte, do akej miery sú vaše citlivé dáta chránené.
Zobraziť viac od autora

Related posts

Citadelo Security Evening - jeseň 2017

Blog | | Citadelo
Hackerské tipy, odhalenie zraniteľnosti s medzinárodným dopadom a ako ukradnúť milióny. Nie, to nie sú názvy filmov, ale témy prednášok, ktoré odzneli na Citadelo Security Evening (CSE)
Zobraziť

WPA2 prelomená. Viete ako ochrániť svoje dáta?

Blog | | Citadelo
Bezpečnostný analytik Mathy Vanhoef zverejnil širokej verejnosti vážnu bezpečnostnú chybu vo WPA2 protokole. WPA2 protokol sa bežne používa na šifrovanie komunikácie pri použití Wi-Fi, jeho predchodcovia sú WPA a WEP.
Zobraziť

Odhalili sme zraniteľnosť CMS Made Simple

Blog | | Citadelo
CMS Made Simple je voľne dostupný, open source CMS. Pozreli sme sa bližšie na zraniteľnosť CMS Made Simple a o výsledok sme sa s vami podelili.
Zobraziť

Úspešne sme absolvovali certifikáciu OSCP

Blog | | Citadelo
OSCP je skúška, ktorá preverí teoretické aj praktické znalosti. Narozdiel od iných skúšok, OSCP a jej úspešné absolvovanie hovorí o určitej znalosti držitela certifikátu.
Zobraziť