Tham dự Tech Lounge

Tham dự Tech Lounge


Phát hiện nhiều extension độc hại trên Chrome, cài vào không xóa được, anh em cẩn thận!

bk9sw
21/1/2018 16:45Phản hồi: 59
Phát hiện nhiều extension độc hại trên Chrome, cài vào không xóa được, anh em cẩn thận!
Extension hay phần mở rộng của Chrome lại một lần nữa được chứng minh là điểm yếu chết người của trình duyệt này khi mới đây, một nhà nghiên cứu bảo mật đã cảnh bảo về một extension độc hại lừa người dùng cài đặt nó và sau đó là gần như không thể nào gỡ bỏ theo cách thông thường. Phần mở rộng này đã được phát hành trên Chrome Web Store suốt 19 ngày trước khi các nhân viên bảo mật của Google nhận được phản hồi và gỡ bỏ.

Tiempo en colombia en vivo.png
Một khi cài đặt, phần mở rộng có tên "Tiempo en colombia en vivo" ngăn người dùng truy xuất vào danh sách các ứng dụng hay phần mở rộng đã cài trên trình duyệt bằng cách chuyển hướng yêu cầu truy xuất thông thường vốn là chrome://extensions/ sang chrome://apps/?r=extensions. Nhà nghiên cứu bảo mật Pieter Arntz đến từ Malwarebytes cho biết ông đã thử theo nhiều cách, bao gồm cả việc tắt JavaScript trên trình duyệt, khởi động Chrome với tất cả các phần mở rộng đều đã vô hiệu hóa (Incognito Mode) và đổi tên thư mục lưu trữ phần mở rộng này nhưng không cách nào gỡ được. Do quá khó khăn để gỡ, Malwarebytes đã khuyên người dùng chạy một phiên bản miễn phí của công cụ bảo mật này để gỡ bỏ tự động.

Arntz cho biết ông đã cài phần mở rộng có cái tên dài dòng trên vào một chiếc máy ảo, Chrome tự động click vào hàng tá video YouTube và đây là dấu hiệu cho thấy chức năng chính của nó là "cày view" cho video. Arntz vẫn chưa thể xác định phần mở rộng này có thực hiện các hoạt động giống malware hay không bởi nó chứa rất nhiều mã JavaScript khiến ông phải mất nhiều thời gian để phân tích.

"Tiempo en columbia en vivo" đã được tải về với 11000 lượt trước khi Google gỡ bỏ nhưng nó vẫn có thể tìm cách lây lan sang nhiều chiếc máy khác bởi lẽ rất nhiều trang web xấu đang sử dụng một kỹ thuật để lừa người dùng thiếu kinh nghiệm cài đặt các phần mở rộng không rõ nguồn gốc. Malwarebytes từng mô tả chi tiết trong một báo cáo bảo mật năm 2016 rằng các trang web này khai thác JavaScript để ép người dùng cài đặt bằng cách hiển thị một hộp thoại cho biết khách ghé thăm trang web phải cài đặt phần mở rộng, bằng không sẽ không thể tắt được trang web. Nếu nhấn hủy hoặc đóng tab duyệt trang web thì tiếp tục sẽ có một loạt các thông điệp khác hiện ra. Arntz cho biết ông đã báo cáo vụ việc cho Google vào ngày 29 tháng 12 và mãi đến thứ 4 vừa qua phần mở rộng trên mới được gỡ bỏ.

Ngoài ra, Arntz cũng phát hiện ra rằng một add-on trên Firefox cũng hoạt động theo cơ chế tương tự nhưng việc gỡ bỏ có phần đơn giản hơn. Tuy nhiên, add-on này không xuất hiện trên kho ứng dụng của Firefox.


"Tiempo en columbia en vivo" không phải là phần mở rộng độc hại duy nhất, trước Malwarebytes thì một công ty bảo mật khác có tên ICEBRG tìm thấy có đến 4 phần mở rộng chứa mã độc được phát hành trên Google Chrome Web Store và đã có hơn 500.000 lượt tải về tính cả 4.

Đại diện của Google đã nhanh chóng phản hồi trước sự việc khi cho biết: "Chúng tôi đã tự động gỡ bỏ Tiempo en colombia en vivo và Play Red Ball 4 khỏi Chrome Web Store cũng như những chiếc máy tính của người dùng bị ảnh hưởng. Bảo mật là yếu tố cốt lõi của Chrome và trình duyệt này đã tự động chặn hàng ngàn phần mở rộng độc hại mỗi tháng."

Về phần "Tiempo en columbia en vivo", đại diện Google cho rằng sở dĩ phần mở rộng này khó gỡ bởi logo của nó màu xám gần như tiệp với màu của thanh công cụ Chrome. Thành thử ra người dùng khó phát hiện ra nó nằm ở đâu trên thanh công cụ từ đó có thể click chuột phải và gỡ bỏ như mọi khi.

Play Red Ball 4.jpg
Ngoài ra, Google có nhắc đến phần mở rộng giả mạo mang tên Play Red Ball 4 và James Oppenheim - biên tập viên của một trang web chuyên đánh giá game dành cho trẻ em cho biết ông đã chủ động email cho Google để thông báo rằng đây là một game giả, được đổi tên nhái theo game của ông nhưng nó vẫn nằm rất lâu trên Chrome Web Store.

Trong email, Oppenheim nói rằng cách đây vài hôm ông nhận được một yêu cầu xin mua lại phần mở rộng có tên Play Red Ball phiên bản 4 của ông từ một người có tên Ganesh đến từ Ấn Độ. Tuy nhiên, ông không phát triển Play Red Ball 4 nên nghĩ rằng đây chỉ là một email spam sai địa chỉ và không phản hồi. Tuy nhiên, những ngày sau đó nhân vật Ganesh này liên tục gởi email năn nỉ. Do đó, ông đã quyết định tìm hiểu về phần mở rộng Play Red Ball 4 mà người ta nhầm ông là người phát triển. Kết quả cho thấy đây là một trò chơi trên Chrome và điều thú vị hơn là nó có cái tên tương tự như nhiều phần mềm dành cho trẻ em khác. Thêm vào đó khi nhấp vào phần mở rộng này thì nó hiển thị cả trang web của ông JamesGames.com là trang chính thức của nhà phát triển đồng thời tên lập trình viên là James Extensions!.

Phần mở rộng này đã được đánh giá 4 sao nhưng rất nhiều phản hồi cho biết nó là malware. Như vậy khả năng rằng người đã phát hành nó biết rõ về những gì Oppenheim đang làm, cụ thể là đánh giá game dành cho trẻ em và sử dụng tên của ông để khiến malware này trở nên đáng tin cậy hơn. Ngay lập tức Oppenheim đã báo cáo với Google, yêu cầu gỡ phần mở rộng này hay ít nhất là gỡ thông tin trang web cũng như tên của ông ra khỏi phần mô tả nhưng không nhận được phản hồi. Phần mở rộng này đã được tải về đến 27781 lần và mới chỉ được gỡ xuống hôm thứ 4.

Qua 2 sự việc trên, có thể thấy Google đang gặp vấn đề trong khâu quản lý chất lượng phần mở rộng được lập trình viên phát hành trên Chrome Web Store. Google phản bác rằng Chrome quá phổ biến nên không ngạc nhiên khi nó trở thành mục tiêu hàng đầu của hacker. Hơn nữa, số lượng người dùng lỡ tay cài đặt các phần mở rộng độc hại trên Chrome chỉ chiếm một phần nhỏ trong tổng số người dùng trình duyệt này. Mặc dù vậy, thông điệp ở đây vẫn rõ ràng, Chrome có thể sở hữu cơ chế sandbox cách ly bảo mật tốt nhất hiện tại và các bản cập nhật bảo mật cũng được phát hành thường xuyên nhất trong số các trình duyệt chính nhưng phần mở rộng vẫn là điểm yếu chết người của Chrome. Người dùng, đặc biệt là những người không có nhiều kiến thức về kĩ thuật hoặc những mục tiêu lớn như doanh nghiệp có thể tránh cài đặt các phần mở rộng kiểu này trừ khi nó mang lại một lợi ích thực sự và cần phải tìm hiểu trước về lập trình viên tạo ra nó.

Theo: ArsTechnica

Quảng cáo

59 bình luận
Chia sẻ

Xu hướng

AdGuard 😃 mình chỉ xài cái này.
K sài chôm nên k no
@Akay Nhím Trên win thì cho dù bạn có sạch mấy cũng bị dính thui. Không bằng cách này thì cũng có cách nọ thôi. Thậm chí tải 1 tệp ảnh hay 1 bài hát cũng bị nữa. Nói tóm lại là cứ xem cho biết rủi mai này có bị thì biết mình ....bị dzề thôi. Heheheheh
@pond1597 Vậy trên gì thì không bị dính?
@pond1597 E mù các loại virut mã độc các kiểu lắm. Mà đang sài safari nên chả quan tâm đến virut lắm
Logaccad
ĐẠI BÀNG
6 năm
Dạo này bị cái Chromesearch.club trên addressbar search không cho đổi search engine có ai biết remove không 😔
xversion1
TÍCH CỰC
6 năm
@Logaccad Khả năng bị malware rồi, xoá các kiểu rồi nó lại xuất hiện lại thôi, có khi nó xuất hiện lại luôn, có khi mấy ngày sau nó mới hiện lại, ko biết nó ở đâu mà xoá mà gỡ luôn. Em bị mấy lần rồi, chỉ có format ổ cài lại win 😆
vuhoanglk
ĐẠI BÀNG
6 năm
@Logaccad Cài SpyHunter 4, xử lý nó, nếu ko có ..... thì sài đỡ quét xong xem link rùi vào xóa tận ổ là đc, bảng full thì nó tự xử
tunglinhth
ĐẠI BÀNG
6 năm
@Logaccad Cái này mình đã từng xử lý rồi, để mình tìm lại cho. Cực kỳ khoai đấy. Suýt nữa mình phải cài lại win.
tunglinhth
ĐẠI BÀNG
6 năm
@Logaccad 1. Chạy CMD với quyền admin
2. Trong CMD gõ lần lượt các dòng sau và enter:
  • rd /S /Q "%WinDir%\System32\GroupPolicyUsers"
  • rd /S /Q "%WinDir%\System32\GroupPolicy"
  • gpupdate /force
cmd.jpg
Sau đó gỡ bỏ tất cả các phần mềm mà bạn nghi ngờ. Gỡ luôn chrome và cài đặt lại chrome mới. Sẽ thành công. Không phải cài lại máy!
Addon cả ff và chrome chỉ cài adblock, seoquake, firebug
1234hdpa
ĐẠI BÀNG
6 năm
Cũng vì dạo này Chrome dính phốt nhiều mà mình chuyển sang Firefox Quantum. Hiếm khi bị dụ cài Extension hơn. Chrome ngày càng nặng và nguy hiểm đối với những người thân không rành công nghệ như ba mẹ mình.
legiondark
TÍCH CỰC
6 năm
@1234hdpa Firefox quantum rất ngon 😁 Mỗi tội k chạy đc java
1234hdpa
ĐẠI BÀNG
6 năm
@legiondark Uh, nên có dùng java vẫn phải động đến Chrome, cơ mà ba mẹ thì không biết java là gì nên cũng khỏe :p
NhưVăn01
TÍCH CỰC
6 năm
mình chuyển hẳn quan Edge và ff rồi
sib
ĐẠI BÀNG
6 năm
@Phạm Tài gtvt Edge vào fb muốn đập máy
NhưVăn01
TÍCH CỰC
6 năm
@sib lúc ấy có ff mà
mình chuyển qua Edge từ lúc có win 1 chính thức
HGLog
ĐẠI BÀNG
6 năm
Chrome của mình bị con ware alpha shopper nó làm mình không search bằng google được lúc nào search bất cứ cái gì đều thông qua con ware này hết, mình đã thử gỡ cài đặt chrome, xóa dữ liệu web, cài đặt lại mặc định kể cả mình chưa đăng nhập vào chrome, thêm nữa là máy tính mình không có cài phần mềm nào lạ hết, mình quét virus vẫn không thấy con nào, mình kiểm tra trong extension đều không thấy cái gì ở trong hết nhưng mà mình vẫn bị dính con ware này. Bác nào chỉ mình cách khắc phục này được không ??? Thanks.
xversion1
TÍCH CỰC
6 năm
@HGLog Không bao giờ gỡ đc bọn này đâu, kiểu gì nó cũng tự cài lại. Chỉ có cài lại win và lần sau ko táy máy click linh tinh nữa thôi.
@xversion1 Mấy Malware đơn giản này có chỉ cần chạy 3 phần mêm tôi nhắc đến là sạch thôi, cài lại win làm gì cho cực.
HGLog
ĐẠI BÀNG
6 năm
@dinhnguyendao thanks bạn để mình thử
tunglinhth
ĐẠI BÀNG
6 năm
@HGLog 1. Chạy CMD với quyền admin
2. Trong CMD gõ lần lượt các dòng sau và enter:
  • rd /S /Q "%WinDir%\System32\GroupPolicyUsers"
  • rd /S /Q "%WinDir%\System32\GroupPolicy"
  • gpupdate /force
View attachment 3758444
Sau đó gỡ bỏ tất cả các phần mềm mà bạn nghi ngờ. Gỡ luôn chrome và cài đặt lại chrome mới. Sẽ thành công. Không phải cài lại máy!
Từ Playstore đến Chrome Extension, anh Google có vẻ ko kiểm soát được hay sao ấy.
😆)))
Mình thì xài chrome ko có thói quen cài thêm exten, gắn bó với em nó vì hầu như mình gắn liền với google từ youtube, drive, map, keep, photo, search đồng bộ trên android rất tuyệt. Không liên quan nhưng Google map của mình đạt cấp 6 local guide rồi mà ko thấy google tặng dung lượng 1tb trong vòng 2 năm gì đấy nhỉ 😔 dạo trước cố cày cuốc tích điểm review cac kiểu
@Lil Nguyễn Hồi xưa ham lên cấp lắm, đăng ảnh liên tục, giờ chán rồi. Trong vòng 1 tháng lên cấp 5, nhưng từ 5 lên 6 rất lâu, còn thiếu trăm điểm nữa nhưng cũng chẳng ham hố lên nữa.
@A to Z Mình đang ở 6 mà nghe nói nó có tặng 1tb dung lượng drive 2 năm.mình mới đóng góp, có vẻ như Google dừng chương trình đó rồi
@Lil Nguyễn Dừng chương trình đó lâu lắm rồi thím ạ (hồi đó lên cấp 4 ) là được tặng dung lượng free rồi, giờ thì nghỉ khỏe nhé.
hero229
ĐẠI BÀNG
6 năm
Lười google nên anh em cho hỏi cái extension này có nhiều tiện ích không nhỉ? Có cái nào hay mọi người giới thiệu để dùng thử.
@hero229 Nhiều lắm. Nhưng nếu không muốn bị lừa cài mấy cái giống trong bài viết thì phải là một người dùng thông minh. Chỉ cài đặt những extension rõ nguồn gốc, hoặc phải đọc review của người khác trước khi cài.

Mình cũng không thể bỏ Chrome được vì lệ thuộc nhiều vào tài khoản Google và đống extension của nó 😁 Ví dụ cho bác một vài cái hay dùng:
  • Google Translate (dịch) & Google Dictionary (từ điển) & Grammarly (check ngữ pháp tiếng Anh)
  • Google Keep (ghi chú)
  • uBlock Origin (chặn QC)
  • Hola VPN
  • Image Downloader (down toàn bộ ảnh trong trang web)
  • Simple EPUB Reader (đọc file epub)
extension trên chrome, ff, opera chỉ cài 3 cái : ublock ( bộ lọc fsm 2.0, abpvn ), violentmonkey ( xài scripts của voz ), ghostery ( chận qc )
Nguy hỉm quạ
bitback
TÍCH CỰC
6 năm
không thấy bác nào xài opera nhỉ :eek:
@bitback Từng xài, thấy khá ngon, mà chs nó không bắt được link download của IDM nên lại gỡ đi xài tiếp chrome (cốc cốc)
nldquy
ĐẠI BÀNG
6 năm
Không liên quan nhưng mình có làm một số extensions chuyên phục vụ cho việc học anh văn, giúp các bạn tra từ điển ở các website từ điển lớn như Cambridge, Oxford, bạn nào hay học anh văn thì có thể cài nhen

Cambridge: https://goo.gl/4i88H4


Oxford: https://goo.gl/H574wp


Ludwig: tra nghĩa của từ, cụm từ và lấy ví dụ từ các tạp chí lớn https://goo.gl/w6pqAj


YouGlish: gives you fast, unbiased answers about how English is spoken by real people and in context. https://goo.gl/B4NgQr


Google Image: Đối với rất nhiều từ, hình ảnh sẽ giúp các bạn nhớ nhanh hơn và lâu hơn, nên tiện thể mình làm luôn cái Google image: https://goo.gl/4nkCM1


Sentence Examples: cái này không quan trọng lắm, vì trong các từ điển đã có rất nhiều ví dụ hay và chuẩn rồi: https://goo.gl/4RYjGU
Tenminus
ĐẠI BÀNG
6 năm
Đụt em cũng đang dính cái chrome search today không cách nào gỡ nổi nó bây h chỉ có cách cài lại win và đang phải sống chung với nó. Đã gỡ cả chrome xoá thư mục cài lại vẫn thế @@
xversion1
TÍCH CỰC
6 năm
@Tenminus Cài lại sớm ngày nao yên vui ngày đấy nhé bạn. Mình bị kiểu này ko biết bao nhiêu lần rồi và chỉ có mỗi phương án là cài lại win, gỡ xóa kiểu gì sau nó cũng tự quay lại.
tunglinhth
ĐẠI BÀNG
6 năm
@Tenminus 1. Chạy CMD với quyền admin
2. Trong CMD gõ lần lượt các dòng sau và enter:
  • rd /S /Q "%WinDir%\System32\GroupPolicyUsers"
  • rd /S /Q "%WinDir%\System32\GroupPolicy"
  • gpupdate /force
View attachment 3758444
Sau đó gỡ bỏ tất cả các phần mềm mà bạn nghi ngờ. Gỡ luôn chrome và cài đặt lại chrome mới. Sẽ thành công. Không phải cài lại máy!
Tenminus
ĐẠI BÀNG
6 năm
@tunglinhth đã làm theo và thành công tks ae nhé may quá trước làm đủ kiểu nó vẫn trơ trơ ra đấy 😁
taysung
ĐẠI BÀNG
6 năm
đã dính và đang dính. làm đủ mọi cách cũng vậy . gỡ full cài lại cũng bị . lâu lâu lại tự chuyển link qua trang khác . sống chung luôn sau cài win 😆
RainMetoer
ĐẠI BÀNG
6 năm
chủ yếu xài chrome vì nó có tính năng đồng bộ tốt, bây giờ mà chuyển sang ff thì không biết làm thế nào để dồng bộ lại
@RainMetoer Bạn đồng bộ cái gì trên Chrome: Lịch sử, dấu trang, mật khẩu hay cài gì ạ?
RainMetoer
ĐẠI BÀNG
6 năm
@dinhnguyendao trừ cái lịch sử ra, tại mình dùng mày ở nhà với cty là khác nên moonss đồng bộ nhanh thôi

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019