Os pesquisadores descobriram uma nova maneira de estabelecer silenciosamente suas extensões no Chrome e em outros navegadores de cromo. E tudo isso sem avisos desnecessários para os usuários. O foco é como as configurações de instalação adicionais.
Normalmente, os arquivos JSON especiais no AppData são usados para controle, nos quais os utilitários estendidos estão instalados e o código de verificação (MAC) é costurado. Mas os cientistas mostraram que esses testes podem ser negligenciados com apenas um recorde elegante para o disco.
Método Funciona assim: primeiro, o invasor calcula o ID da expansão desejada e, em seguida, desenha uma chave secreta para a assinatura do recurso do navegador e cria o código de teste correto.
Depois disso, ainda era para reescrever as configurações – e o navegador lançou obedientemente a esquerda à esquerda da esquerda ao iniciar. Além disso, não há bandeira na linha de comando ou download da loja Chrome.
Um truque separado é que a extensão estabelecida está pisando, se a expansão local tiver o mesmo ID do site oficial do Chrome, a versão local receberá prioridade. E este é um caminho direto para ocultar o plug -in permitido pelos administradores.
Mesmo os políticos do grupo na rede de domínio não são econômicos: eles podem ser falsos ou simplesmente remover os cursos no livro de registro (HKCU \ Software \ Policy \ Google \ Chrome).
Para os atacantes, isso significa um ponto de reparo silencioso e confiável no sistema e para novos guardas – dores de cabeça. Os especialistas recomendam alterar o monitoramento nos arquivos de instalação, verificando as mudanças de trabalho do regime de desenvolvedor e monitorando o editor suspeito no registro.
Portanto, a pesquisa mostra uma localização fraca para toda a arquitetura do cromo: bloqueio HMAC estático e a disponibilidade de arquivos para gravar. Para fechar a perda, você terá que verificar mais profundamente o sistema ou aumentar a criptografia no nível do sistema operacional.