悪意のある拡張機能とそれらに対する保護の危険な世界。 Yandexブラウザエクスペリエンス

残念ながら、ブラウザ拡張機能は最近、ますます便利に使用されるためではなく、詐欺師のツールとして使用されています。 本日は、Yandex.Browserのユーザーを保護する対策とテクノロジーについてお話しするために、悪意のある開発との戦いにおける経験をお伝えしたいと思います。







2014年春、Yandex.Browserのサポートは、「ブラウザーのウイルス感染」と訪問したWebサイトにポップアップ表示される攻撃的な広告について言及したユーザーからのリクエストの急増に注目しました。 最も一般的な症状は、RuNetで人気のあるサイト（VKontakte、Yandexなど）での新しい広告ユニットの置換または追加です。 同時に、悪意のある拡張機能の開発者はユーザーケアを気にせず、率直に詐欺的または衝撃的な広告を軽disしませんでした。 他の症状がありました。 たとえば、特定のサイトでタブを自動的に開いたり、デフォルトの検索を偽装したり、データを盗んだりします。



ある時点で、そのような呼び出しの数は、すべてのサポートメッセージの30％に達し始めました。 サポートの観察は、ブラウザを削除する主な理由の統計によっても確認されました（アンインストールする場合、ユーザーは理由を説明するように招待されます）。 多くの人々は、この方法でブラウザを収益化することにしたのは私たちのチームだと心から信じていました。 短期間で、サードパーティの悪意のある開発の活動に関連するYandex.Browserの削除数が2倍になりました。 この問題に介入して作業を開始することが急務でした。



先制攻撃



この状況でできる最も簡単で迅速なことは、拡張機能のブラックリストを実装することでした。 ここでは、Yandex.Searchのセキュリティを担当し、悪意のあるサイトとの戦いで確かな経験を積んだ同僚に助けられました。 Yandex.Browserで使用されるセーフブラウジングテクノロジーの根底にあるのは、彼らのデータです。 共同作業の結果、Yandex.Browser 14.5は、IDが悪意のあるアドオンとしてリストされている拡張機能の動作をブロックすることを学びました。 リスト自体は定期的に更新され、その後、新しいバージョンは数時間でSafe Browsing APIを介してユーザーに配布されました。







これは、これまでブラウザからの特定の抵抗に遭遇していなかった不正な拡張機能への最初の重大な打撃でした。 このステップにより、数週間で苦情の数が10倍減少したという事実に至りました。 残念ながら、効果は長続きしませんでした。 迅速な勝利の喜びは、これがユーザーの安全のための真の闘争の始まりにすぎないという理解に道を譲りました。



セキュリティまたは自由？



昨年の春、私たちはブラックリストを介して、広範囲にわたる悪意のある拡張機能を迅速に特定してブロックすることを学びました。 しかし、そのような開発の作成者は迷うことなく、新しい戦術に切り替えました。 私たちはこれについてすべて同じ苦情から学びました。 ユーザーは分析のために定期的に不良な拡張機能を送信します。 このような支援のおかげで、ブラックリストに追加しています。 しかし、ある時点で、非常に奇妙なパターンが私たちにやって来ました。 たとえば、IDが「pioclpoplcdbaefihamjohnefbikjilc」であるNxAxRという拡張子が送信されました。 今すぐこのIDを検索すると、Chrome Web Storeで公開されている完全に安全な拡張機能Evernote Web Clipperに属していることがわかります。確かに厄介なことはできませんでした（とにかく確認しました）。 そして、時間が経つにつれて、そのような偽物の聴衆は、元の拡張機能の聴衆よりもさらに大きくなりました。 しかし、同じNxAxRをIDで禁止することはできません。そのようなステップの後、Evernoteも禁止されるからです。







ほとんどすぐに、Chrome Web Storeアカウントをハッキングするという考えは破棄されました。これは、悪意のある広告アイテムへのメモを保存するための拡張機能の更新を理論的に説明できます。 誰もアカウントをハッキングせず、拡張機能の正しいバージョンはまだカタログで配布されていました。 幸いなことに、開発者自身が詐欺師が使用するメカニズムを推測したため、長く考える必要はありませんでした。



ユーザーのコンピューターで実行されている悪意のあるプログラムは、この標準ツールではなく、プロファイルを直接編集することで、ブラウザーに拡張機能をインストールしました。 同時に、偽物は、Webストアで公開されている既知の拡張子の下でIDレベルでマスクされました。 「update_url」（ブラウザが新しいバージョンをチェックするサーバーアドレス）でさえ正しく指定されていました。 そして、元の最初の更新後に悪意のある拡張機能が消えないように、攻撃者は故意に大きなバージョンを公開しました。 ブラウザーは、拡張マニフェストとサーバー上のバージョンを比較しました。 コンピューターが新しい場合、更新は行われませんでした。







ちなみに、時間の経過とともに、危険な拡張機能の作成者は、「NxAxR」などの名前が不必要なユーザーの注目を集めていることに気づき、「Translator for Chrome」などと呼ばれるようになりました。 削除するのは怖いです。突然、翻訳者が本当に機能しなくなります。



私たちのチームは大きくて面白い仕事に直面しました。 偽物を検出し、それらから人々を保護できる技術を開発する必要がありました。 この場所で、私たちが経験した素晴らしいアイデアについてお話ししたいと思いますが、すべてがはるかにシンプルでした（そして、より重要です）。 偽物を認識するために、標準と比較する必要がありました。 ユーザーが公式カタログからインストールする意図的にオリジナルのコピーを使用します。 問題は、多くの拡張機能が別の方法で配布され、ディレクトリに関連付けられていないことでした。 この場合、単に参照はありません。 そして悪意のある開発は特にそのようなものを悪用しています。 この状況では、最初に拡張機能のインストールを信頼できるソースに制限することによってのみ、偽造に対する保護を提供できます。



ご想像のとおり（または昨年8月のことを思い出してください）、サードパーティのソースからの拡張機能のインストールに制限を課しました。 それにもかかわらず、私たちのチームは、悪意のある拡張機能からユーザーを保護するだけでなく、選択する権利を維持するよう努めました。 ユーザーは、拡張機能とインストール元のディレクトリの両方を選択できる必要があります。 そのため、ブラウザにアドオンセクションを追加しました。 同じ理由で、制限を導入しただけでなく、Opera Addonsディレクトリもサポートし、Chromeウェブストアと同じくらい簡単な拡張機能をインストールしました。 さらに、サードパーティのソースからインストールされた開発は完全にブロックされませんでした。 デフォルトでそれらをオフにしました。 ブラウザを再起動した後、人々はそれらを手動でアクティブにして作業を継続する機能を保持しました。







セキュリティと選択の自由を組み合わせることがどれほど困難であっても、それらの間のバランスを見つけることができたようです。



認証



サードパーティのソースからのインストールの禁止が導入された後、ブラウザは偽物を識別し、それらを標準と比較することができました。 しかし、あなたはどのように正確に比較すべきですか？ マニフェストの内容のみを比較すると、詐欺師は既存のjsファイルに侵入できるため、これだけでは不十分です。 すべてのjsファイルとhtmlファイルの内容を比較しますか？ 時間がかかり、パフォーマンスに影響を与える可能性があります。 皆さんの多くは、最終的に選択がハッシュの比較にかかっていることをすでに推測しているかもしれません。 拡張機能がOperaアドオン、Webストア、またはアドオンからインストールされた場合、Yandex.Browserには安全なコピーのハッシュがあります。 それを現在の拡張機能のハッシュと比較するだけで、変更が加えられた拡張機能をすばやく特定できます。







簡単に聞こえますが、このテクノロジーのデバッグには長い時間がかかりました。 保護の有効性、誤検知の数、およびパフォーマンスへの影響の間で妥協点を見つける必要がありました。 ここですべての詳細を開示していないことをおWeびします。 理由をご理解いただければ幸いです。 多くのユーザーは、拡張機能のインストールに関連するセキュリティの不便さを支払いましたが、最終的にこの措置により、ブラックリストの成功を繰り返し、「感染した」ブラウザの数を大幅に減らすことができました。



グループポリシーとその他の抜け穴



セーフブラウジングのブラックリスト、ソースの制限、および認証により、詐欺師の作業は非常に複雑になりました。 彼らは退却し、損失を再集計したが、前回同様、代替案を見つけた。 さらに、今回はChrome Web Storeが主な打撃を受けました。



Webストアディレクトリは無料のアドオン用に開かれており、事前の調整は不要です。 攻撃者はこれを利用しました。 カタログでは、たとえば、あまり有用ではないサンプルをいくつか見つけました。 しかし、2015年には、そのような活動は明らかに増加しました。 詐欺師は、簡単な方法で保護対策を回避しようとしました：人気のある拡張機能の1つはすぐにブラックリストに追加されますが、多くのコピーをダウンロードすると、生き残り、投資を回収できる可能性があります。



このような拡張機能には、ユーザーを引き付けることを明確に目的とした名前と機能（「VKontakteから音楽/ビデオをダウンロードする」など）がありましたが、メインの配信チャネルはユーザーのコンピューター上のソフトウェアでした。 同時に、誰もブラウザを「クラック」しませんでした。 Chromiumプロジェクトで文書化された方法を使用すれば十分でした。 インストーラーは、レジストリにHKEY_LOCAL_MACHINE \ Software \ Yandex \ Extensions \ extension_IDの形式のキーを作成しました。このキーには、Webストアディレクトリのアドレスが登録されていました。 再起動後、ブラウザ自体が指定されたアドレスからCRXファイルをダウンロードしてインストールしました。 独自の拡張機能を備えたネイティブプログラム（SkypeやKaspersky Anti-Virusなど）に対して、同様の方法が一度に発明されました。 しかし、比較的使いやすいため、このツールは悪意のあるアドオンの開発者によってすぐにマスターされました。



Chromiumプロジェクトには、 グループポリシーを使用してブラウザ自体とその拡張機能の両方をインストールする機能もあります。 これらは最初に企業セグメント向けに作成されました。 しかし、最初の方法の場合と同様に、メインアプリケーションはまったく異なる領域で見つかりました。 拡張機能は、予告なしにインストールされます。 ただし、ここで最も不快なのは、グループポリシーで、そのような拡張機能の無効化または削除の禁止を指定できることです。 また、システムレジストリを操作する機能がないと、ユーザーはそれらを削除できません。







レジストリまたはグループポリシーを通じて拡張機能をインストールする方法は、当初の目的にもかかわらず、主に詐欺師によって使用されていました。 何千人ものユーザーの問題は、いくつかのサードパーティプログラムの利便性以上のものを意味します。 したがって、今年の春に、このような抜け穴をオフにしました。



次は？



私たちはバリケードの反対側にいる人々の喜びを台無しにして奪いたくないので、私たちの計画と今後の技術については話しません。 他の皆と、私たちは私たち自身の観察のいくつかを共有することができます。



第一に、広告やその他の危険な拡張機能の配布は、保護を回避する新しい方法を探すためのお金、時間、そして最高の頭脳を持つ業界全体です。 このような脅威にうまく対処するために、ユーザーの安全を担当する領域全体をチームで特定しました。



第二に、Yandex.Browserと他のブラウザおよびディレクトリの両方で取られた対策は、詐欺師にとって好ましくない状況を徐々に作り出しています。 ユーザーのコンピューター上の広告やデータ盗難に代わる代替チャネルを探す必要があります。 そして、ここでは、それらを見失わないことが重要です。 将来の投稿では、これについてもっと話をしようとします。