Расширения savefrom.net и frigate не работают. Почему их блокирует «Яндекс». В конце декабря 2020 года у пользователей Яндекс Браузера перестали работать расширения savefrom.net, frigate cdn и frigate light и некоторые другие. На тот момент аудитория пользующаяся этими расширениями составляла около 8 миллионов человек. Причиной всему явилось обнаружение запрещенного кода в расширениях.
Предпосылки
В компанию Яндекс посыпались жалобы от пользователей, о том что в браузере стали появляться звуки рекламы без видимых на то причин. При этом видеоролики которые могли издавать подобные звуки отсутствовали.
Разработчики «Яндекса» предположили, что возможно звуки рекламы исходят из-за пределов видимой части экрана, но после опроса пользователей гипотеза не подтвердилась.
После анализа жалоб пользователей, оказалось что все их объединяет наличие в браузерах одного из сторонних расширений — savefrom.net, frigate cdn или frigate light. При отключении которых пропадали все рекламные звуки и больше не появлялись.
Сотрудники службы кибербезопасности «Яндекса» связались с разработчиками расширений, которые в свою очередь внесли исправления в свои плагины. После обновления расширений, жалобы на звук от пользователей прекратились. Но на этом история не заканчивается…
Несмотря на отсутствие жалоб на звуки, начались жалобы на большую нагрузку системы и огромный расход трафика при использовании браузера. Команда антифрода Яндекса выявила попытки использования аудитории браузеров, для накрутки просмотров видео в онлайн-кинотеатрах. Видеоролики проигрывались в фоне и без звука. Во всех браузерах проблемных устройств, фигурировали все те же расширения, после отключения оных, нагрузка на систему пропадала «волшебным образом». Детально изучив код расширений специалисты выдали заключение, что именно коды этих расширений приводят к скрытому запуску видео.
Что опасного было в расширениях.
Frigate
Все версии расширения frigate (CDN и Light) имели общий кусок кода. Который отвечал за динамическую подгрузку и исполнение JS-скриптов. При этом функционал кода был очень хитроумно запрятан. Что противоречит правилам размещения приложений в Chrome Web Store, в магазинах которого присутствовало данное расширение.
Код совершал запрос по адресу frigate.org/config.txt после чего получал адрес командного сервера для дальнейшей работы. Это позволяет менять адреса серверов без полного обновления расширения, по мере необходимости. При анализе кода сотрудниками «Яндекса» — командный сервер был — gatpsstat.com
По факту каждый час расширение отправляло запрос в командный сервер. После получения зашифрованного ответа из центра, происходила декодировка с последующим выполнением произвольных JS-скриптов.
SaveFrom.net
При анализе кода расширения SaveFrom, в файле background.js, встречается строчка кода «x = m(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)»
Эта строка аналогична коду из расширения frigate «k = fromCharCode(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)».
Оказался общим не только код, но и командный сервер у расширения — gatpsstat.com
Совпадение? — Не думаю!
Итоги
Все проанализированные расширения имели возможность выполнять динамические JS-коды, получаемые от разработчиков. Причем эти коды могли не только воспроизводить скрытые видео в беззвучном режиме, но угрожать безопасности пользователей. Вплоть до распространения персональных данных. Подгружать можно было все что угодно.
Исходя из всех имеющихся данных, сотрудники Яндекса посчитали данное поведение дополнений потенциально опасным и недобросовестным. Поэтому решили отключить уже установленные расширения savefrom.net, frigate cdn и frigate light в Яндекс браузере. Пользователи получили уведомления, с подробностями отключения. После чего продолжить работу с расширением все равно получится, но уже на свой страх и риск.
Помимо этого результаты проверки были переданы в «Лабораторию Касперского», в которой незамедлительно приняли меры, и службе безопасности Google.
В ходе проводимых исследований было выявлено около 30 менее распространенных браузерных дополнений использующих схожий код. Которые были так же заблокированы.
acdfdofofabmipgcolilkfhnpoclgpdd (VDP: Best Video Downloader)
oobppndjaabcidladjeehddkgkccfcpn (Y2Mate — Video Downloader)
aonedlchkbicmhepimiahfalheedjgbh (Помощник)
aoeacblfmdamdejeiaepojbhohhkmkjh (RadioGaGa)
eoeoincjhpflnpdaiemgbboknhkblome
onbkopaoemachfglhlpomhbpofepfpom
inlgdellfblpplcogjfedlhjnpgafnia
ejfajpmpabphhkcacijnhggimhelopfg
pgjndpcilbcanlnhhjmhjalilcmoicjc
napifgkjbjeodgmfjmgncljmnmdefpbf
glgemekgfjppocilabhlcbngobillcgf
klmjcelobglnhnbfpmlbgnoeippfhhil
ldbfffpdfgghehkkckifnjhoncdgjkib
mbacbcfdfaapbcnlnbmciiaakomhkbkb (friGate CDN)
mdnmhbnbebabimcjggckeoibchhckemm (friGate Light)
lfedlgnabjompjngkpddclhgcmeklana (SaveFrom.net помощник)
mdpljndcmbeikfnlflcggaipgnhiedbl
npdpplbicnmpoigidfdjadamgfkilaak
ibehiiilehaakkhkigckfjfknboalpbe
lalpacfpfnobgdkbbpggecolckiffhoi
hdbipekpdpggjaipompnomhccfemaljm (friGate3 proxy helper)
gfjocjagfinihkkaahliainflifnlnfc
ickfamnaffmfjgecbbnhecdnmjknblic
bmcnncbmipphlkdmgfbipbanmmfdamkd
miejmllodobdobgjbeonandkjhnhpjbn
Последствия
Расширения savefrom.net и frigate не работают.
После публикации отчета Яндекса в блоге на habre
За дело принялись остальные поисковики GoogleChrome и Opera.
Оба, помимо блокировки уже установленных плагинов, удаляют расширения из своих магазинов дополнений. О чем сразу же опечалились пользователи.
Разработчики расширений прокомментировали случившееся в своих телеграмм каналах.
И видимо в срочном времени стали принимать меры по устранению нарушений. После чего некоторые вновь появились в каталогах расширений.
