Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

197 extensions navigateurs servent de spywares (21.01.19)

raston

Bonjour
Je viens de trouver ce sujet d'un site de source connu
""

197 extensions navigateurs servent de spywares (21.01.19)

Messagede pierre » Hier, 12:47
Un jeune diplômé, Doliere Some ( http://www-sop.inria.fr/members/Doliere.Some/ ) travaillant à Inria Sophia Antipolis (https://www.inria.fr/) pointe du doigt près de 200 extensions pour navigateurs Web (Firefox, Chrome et Opera).

"« Nous avons identifié 197 extensions qui posent diverses menaces pour la sécurité et la confidentialité des navigateurs, des applications Web et des utilisateurs. Elles peuvent être exploitées par des applications Web pour contourner la SOP (« Standard Operating Procedure » (en français « Procédures Opérationnelles Standard » - POS), lire les cookies, l’historique de navigation, les signets, la liste des extensions installées, stocker et récupérer des données depuis le stockage d’extensions ou télécharger des fichiers malveillants et les stocker sur la machine utilisateur. »"
Ce sont des extensions qui peuvent être exploitées par des applications Web afin de :

exécuter du code arbitraire dans le contexte d'extensions avec les mêmes privilèges que l'extension
contourner la règle de même origine et accéder aux informations de l'utilisateur
lire les cookies des utilisateurs afin de pirater leur session de navigation par exemple
lire leur historique de navigation et leurs favoris
liste des extensions installées
stocker et récupérer des données dans le stockage permanent des extensions. Ces informations peuvent servir à des fins de suivi
déclencher le téléchargement de fichiers arbitraires et les stocker sur la machine utilisateur. Ces fichiers peuvent être des logiciels malveillants dont l'exécution peut endommager l'appareil de l'utilisateur

SOURCE
http://assiste.forum.free.fr/viewtopic.php?f=173&t=33920

Pending...

Ça m'étonne sans m'étonner. C'est quelque chose sur lequel je m'étais un peu penché : il y a moyen de faire une extension plus ou moins utile, la faire signer, mais y inclure une erreur de code pour pouvoir plus tard faire exécuter du code arbitraire. Par exemple en jetant un œil sur les historiques d'autres extensions ayant eu des corrections de bugs et en étudiant le code permettant de faire exécuter du code.

Je n'étais pas allé plus loin car pas mon domaine et beaucoup de flemme de chercher. Mais c'était une piste que je voulais gratter. Si ça fonctionne, c'est game-over pour la cible.

raston

Utilisant personnellement plusieurs extensions , puis ce que je fais beaucoup d'internet
je pense que c'est un sujet a suivre

Firefox a immédiatement supprimé les extensions présentes.

On remarquera que, sur le tableau précédent, seules 16 extensions étaient vulnérables/hostiles sous Firefox contre 171 dans Google Chrome. Le sérieux et la vigilance de la Fondation Mozilla sont à mettre en avant. Firefox ayant la réputation d'être le navigateur avec le plus d'extensions, le plus personnalisable, le plus extensible, Google court après cette réputation en essayant d'avoir plus d'extensions de Firefox, qui à accepter n'importe quoi.

Merci pour l'avis

nam1962

Wé..
- pas trouvé sur le fil la moindre liste exploitable des trucs concernés (seule info intéressante en soi)
- vu que, comme par le biais de plein d'outils d'alerte, ça a été corrigé dès publication.

Bon, et après on fait quoi ?

bruno

Les articles d'origine, en français et en anglais :
https://www.zdnet.fr/actualites/vie-privee-200-extensions-de-navigateurs-ouvrent-l-acces-a-des-donnees-privees-39879533.htm#xtor=RSS-1
https://www.zdnet.com/article/websites-can-steal-browser-data-via-extensions-apis/

Le papier du chercheur de l'INRIA : http://www-sop.inria.fr/members/Doliere.Some/empoweb/ et http://www-sop.inria.fr/members/Doliere.Some/papers/empoweb.pdf
Les vidéos montrant l'exploitation : http://www-sop.inria.fr/members/Doliere.Some/empoweb/extensions/
L'outil pour vérifier ses extensions : http://www-sop.inria.fr/members/Doliere.Some/empoweb/extsanalyzer/

Au moment où l'article a été rédigé Chrome n'avait toujours pas agit concernant les extensions problématiques. Chrome/Chromium étant un spyware en soi, ce n'est pas très étonnant 😉

xubu1957

Bonjour,

Pour info :

Autre chose > zdnet.fr/actualites/un-mechant-bug-de-securite-identifie-et-corrige-dans-linux-apt-39879689.htm et .zdnet.com/article/nasty-security-bug-found-and-fixed-in-linux-apt

bruno

Merci xubu1957 😉
Ceux qui font régulièrement les mises à jour de sécurité n'ont rien à craindre.

nam1962

Re : je vois bien de tableaux qui donnent un nombre d'extensions, mai je ne trouve nulle part dans les liens donnés une liste des 197 extensions.

Oukéti ?

lynn

Merci xubu pour les liens sur les articles.

Ça m'amène à une interrogation un peu hors sujet par rapport aux extensions mais comme l'a très justement fait remarquer celui qui à découvert la faille apt, Max Justicz, on peut se demander - et à fortiori, à raison - pourquoi les adresses des dépôts logiciels sont toujours en http... C'est comme le site des isos officielles pour Ubuntu et ses variantes: http://releases.ubuntu.com ... :rolleyes:

C'est si compliqué que ça de passer ces adresses en httpS..?

bruno

@lynn, si tu lis l'anglais il y a un long débat ici : https://www.reddit.com/r/linux/comments/aidxwa/why_does_apt_not_use_https/

Jusqu'ici on considérait que HTTPS n'apportait pas grand chose en matière de sécurité et que HTTP ou FTP étaient plus rapides. Avec la découverte de cette faille (qui est corrigée) on a vu que cela aurait pu éviter, ou du moins rendre plus complexe, l'attaque MITM.

Tu peux déjà si tu le souhaites utiliser certains dépôts en HTTPS (à tester avant de modifier tes sources):
https://fr.archive.ubuntu.com/ubuntu/

--------------------------------

@nam1962 : la liste des extensions est à la fin du PDF donné en #5. Par contre elle sont référencées par leur identifiant unique et pas par leur nom.

nam1962

Ok merci bruno.

Donc voici la liste pour Firefox (au cas ou on croise des demandeurs qui ont çà sur leur install) :

guretv-ver-tv
buxenger
bitbucket-server
logincataddon
facebook-photo-zoom-easy
facebook-photo-zoom
markanabak-eklentisi
skimdaddy
the-trees-network
assina-me
liber-capital
video-downloader-1
openvost
youtube-video-download-convert
openvideo
vgis

Pour Chrome et Opera, je trouve très ballot de ne donner que l'identifiant unique (mais je m'en tamponne un peu : ceux qui utilisent ces navigateurs n'ont qu'à se démerder)

raston

Merci (nam1962 ) je n'utilise pas ceux la !
""
il y a des liens intéressants( dommage je ne suis pas fortiche en Anglais )

dartan

Je viens de découvrir je vais regarder les différents liens

:o

moko138

raston a écrit " extensions pour navigateurs Web (Firefox, Chrome et Opera).
« Elles peuvent être exploitées par des applications Web pour contourner la SOP (« Standard Operating Procedure »"

SOP-Opera.

[center]= =[/center]

Sérieusement, faudrait savoir si c'est google-chrome qui part d'une base chromium-browser et la modifie (ce que j'ai toujours lu),
ou bien si c'est chromium-browser qui part d'une base google-chrome et la modifie.

[supprimé]

Chrome (logiciel) est basé sur le projet Chromium (code source), Google adapte et compile Chromium pour le transformer en Chrome.
https://www.chromium.org/

The Chromium projects include Chromium and Chromium OS, the open-source projects behind the Google Chrome browser and Google Chrome OS, respectively. This site houses the documentation and code related to the Chromium projects and is intended for developers interested in learning about and contributing to the open-source projects.

Les extensions et applications que l'on trouve sur le Chrome Web Store sont par contre sous l'exploitation de Google, ce dernier laisse l'accès au projet Chromium aux extensions et applications du Chrome Web Store.

bruno

Chrome (propriétaire) est développé à partir de Chromium (sous licences libres avec quelques problèmes sur certains fichiers). Les deux sont développés par Google.

moko138

bruno a écrit Les deux sont développés par Google.

Merci bruno, c'est donc cela, l'information qui me manquait.

Zoulou.4556

Slt,
D'ou l'interret d'utiliser des add open source éprouvé, critiqué par la communauté, n'est il pas ?

nam1962

Zoulou.4556 a écrit(...)add open source éprouvé(...)

C'est quoi ?

[supprimé]

bonsoir
Et pas seulement uBlock Origin
Navigateur Chromium : des changements annoncés dans l'API pourrait désactiver une panoplie d'autres extensions
https://www.developpez.com/actu/244659/Navigateur-Chromium-des-changements-annonces-dans-l-API-pourrait-desactiver-une-panoplie-d-autres-extensions-et-pas-seulement-uBlock-Origin/

Page suivante »