Расширения savefrom.net и frigate не работают. Почему их блокирует «Яндекс».

яндекс заблокировал frigate и savefrom О frigate

Расширения savefrom.net и frigate не работают. Почему их блокирует «Яндекс». В конце декабря 2020 года у пользователей Яндекс Браузера перестали работать расширения savefrom.net, frigate cdn и frigate light и некоторые другие. На тот момент аудитория пользующаяся этими расширениями составляла около 8 миллионов человек. Причиной всему явилось обнаружение запрещенного кода в расширениях.

яндекс заблокировал frigate и savefrom

Предпосылки

В компанию Яндекс посыпались жалобы от пользователей, о том что в браузере стали появляться звуки рекламы без видимых на то причин. При этом видеоролики которые могли издавать подобные звуки отсутствовали.

жалобы пользователей яндекса на frigste и savefron

Разработчики «Яндекса» предположили, что возможно звуки рекламы исходят из-за пределов видимой части экрана, но после опроса пользователей гипотеза не подтвердилась.

После анализа жалоб пользователей, оказалось что все их объединяет наличие в браузерах одного из сторонних расширений — savefrom.net, frigate cdn или frigate light. При отключении которых пропадали все рекламные звуки и больше не появлялись.

Сотрудники службы кибербезопасности «Яндекса» связались с разработчиками расширений, которые в свою очередь внесли исправления в свои плагины. После обновления расширений, жалобы на звук от пользователей прекратились. Но на этом история не заканчивается…

Несмотря на отсутствие жалоб на звуки, начались жалобы на большую нагрузку системы и огромный расход трафика при использовании браузера. Команда антифрода Яндекса выявила попытки использования аудитории браузеров, для накрутки просмотров видео в онлайн-кинотеатрах. Видеоролики проигрывались в фоне и без звука. Во всех браузерах проблемных устройств, фигурировали все те же расширения, после отключения оных, нагрузка на систему пропадала «волшебным образом». Детально изучив код расширений специалисты выдали заключение, что именно коды этих расширений приводят к скрытому запуску видео.

Что опасного было в расширениях.

Frigate

Все версии расширения frigate (CDN и Light) имели общий кусок кода. Который отвечал за динамическую подгрузку и исполнение  JS-скриптов. При этом функционал кода был очень хитроумно запрятан. Что противоречит правилам размещения приложений в Chrome Web Store, в магазинах которого присутствовало данное расширение.

код frigate 1

Код совершал запрос по адресу frigate.org/config.txt после чего получал адрес командного сервера для дальнейшей работы. Это позволяет менять адреса серверов без полного обновления расширения, по мере необходимости. При анализе кода сотрудниками «Яндекса» — командный сервер был — gatpsstat.com

gatpsstat

По факту каждый час расширение отправляло запрос в командный сервер. После получения зашифрованного ответа из центра, происходила декодировка с последующим выполнением произвольных JS-скриптов.

код frigate 2

SaveFrom.net

При анализе кода расширения SaveFrom, в файле background.js, встречается строчка кода «x = m(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)»

общий кусок кода frigate и savefrom совпадение

Эта строка аналогична коду из расширения frigate «k = fromCharCode(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)».

Оказался общим не только код, но и командный сервер у расширения — gatpsstat.com

gatpsstat

Совпадение? — Не думаю!

Итоги

Все проанализированные расширения имели возможность выполнять динамические JS-коды, получаемые от разработчиков. Причем эти коды могли не только воспроизводить скрытые видео в беззвучном режиме, но угрожать безопасности пользователей. Вплоть до распространения персональных данных. Подгружать можно было все что угодно.

Исходя из всех имеющихся данных, сотрудники Яндекса посчитали данное поведение дополнений потенциально опасным и недобросовестным. Поэтому решили отключить уже установленные расширения savefrom.net, frigate cdn и frigate light в Яндекс браузере. Пользователи получили уведомления, с подробностями отключения. После чего продолжить работу с расширением все равно получится, но уже на свой страх и риск.

Помимо этого результаты проверки были переданы в «Лабораторию Касперского», в которой незамедлительно приняли меры, и службе безопасности Google.

В ходе проводимых исследований было выявлено около 30 менее распространенных браузерных дополнений использующих схожий код. Которые были так же заблокированы.

Список id заблокированных расширений

acdfdofofabmipgcolilkfhnpoclgpdd (VDP: Best Video Downloader)

oobppndjaabcidladjeehddkgkccfcpn (Y2Mate — Video Downloader)

aonedlchkbicmhepimiahfalheedjgbh (Помощник)

aoeacblfmdamdejeiaepojbhohhkmkjh (RadioGaGa)

eoeoincjhpflnpdaiemgbboknhkblome

onbkopaoemachfglhlpomhbpofepfpom

inlgdellfblpplcogjfedlhjnpgafnia

ejfajpmpabphhkcacijnhggimhelopfg

pgjndpcilbcanlnhhjmhjalilcmoicjc

napifgkjbjeodgmfjmgncljmnmdefpbf

glgemekgfjppocilabhlcbngobillcgf

klmjcelobglnhnbfpmlbgnoeippfhhil

ldbfffpdfgghehkkckifnjhoncdgjkib

mbacbcfdfaapbcnlnbmciiaakomhkbkb (friGate CDN)

mdnmhbnbebabimcjggckeoibchhckemm (friGate Light)

lfedlgnabjompjngkpddclhgcmeklana (SaveFrom.net помощник)

mdpljndcmbeikfnlflcggaipgnhiedbl

npdpplbicnmpoigidfdjadamgfkilaak

ibehiiilehaakkhkigckfjfknboalpbe

lalpacfpfnobgdkbbpggecolckiffhoi

hdbipekpdpggjaipompnomhccfemaljm (friGate3 proxy helper)

gfjocjagfinihkkaahliainflifnlnfc

ickfamnaffmfjgecbbnhecdnmjknblic

bmcnncbmipphlkdmgfbipbanmmfdamkd

miejmllodobdobgjbeonandkjhnhpjbn

Последствия

Расширения savefrom.net и frigate не работают.

После публикации отчета Яндекса в блоге на habre

За дело принялись остальные поисковики GoogleChrome и Opera.

Оба, помимо блокировки уже установленных плагинов, удаляют расширения из своих магазинов дополнений. О чем сразу же опечалились пользователи.

frigate заблокирован в хром

frigate не доступен

опера внесла в черный список расширение frigate

опера внесла в чс frigate

friGate-light заблокировано в опере

Разработчики расширений прокомментировали случившееся в своих телеграмм каналах.

frigate телеграм

И видимо в срочном времени стали принимать меры по устранению нарушений. После чего некоторые вновь появились в каталогах расширений.

frigate снова в магазине хром

Оцените статью
Добавить комментарий