Kaspersky

Cookie stuffing в расширениях для браузеров.

  • 21 September 2019
  • 14 replies
  • 1112 views

Здравствуйте.
Несколько вопросов возникло к Антивирусу Касперскому после прочтения этой статьи от ADGUARD - https://adguard.com/ru/blog/fake-ad-blockers-part-2.html

В статье говорится о том, что найдены расширения для браузеров c более, чем 1.6 миллиона установок, которые без ведома пользователей и рекламодателей мошенническим способом устанавливали cookie в браузерах - cookie stuffing. Создатели таких расширений "зарабатывают" миллионы долларов в месяц. И думаю, что найденные расширения - это лишь верхушка айсберга. Тем временем, продавцы и порядочные разработчики сайтов и других расширений лишаются денег и своего дохода. Продавцы выплачивают не по правилам заработанную комиссию. Сайты и разработчики нормальных расширений лишаются дохода, потому что их куки перебиваются мошенническими расширениями.

Отсюда возник вопрос к Антивирусу Касперскому - может ли ваш антивирус удалять такие расширения, как только они начинают делать cookie stuffing?
То есть, если пользователь расширения нажимает ссылку в расширении, переходит на сайт владельца расширения, а потом на какой-то сайт типа Amazon, Aliexpress, Ebay, Booking уже по реферальной ссылке - это нормальная практика, потому что пользователь сам нажал на ссылку в расширении.
Но если человек просто ходит по какому-то сайту, а вредоносное расширение подменяет ссылки на сайте, что бы человек не догадываясь сделал переход - то это уже мошенничество.
Или если расширение напрямую меняет cookie на Amazon, Aliexpress, Ebay, Booking и подобных сайтах, напрямую прописывая свой рекламный идентификатор - это тоже мошенничество.

Может ли Касперский удалять такие расширения? Во первых, это мошенничество, причем подсудное, судя по всему. Во вторых, если авторы расширения занимаются одним видом мошенничества, то вполне вероятно, что этим они не ограничиваются и могут соевершать мошеннические действия другого вида.

Мне кажется, но я могу и ошибаться, довольно трудно определить была ли подмена ссылки на сайте, что бы после нажатия на нее пользователь попал на необходимую страницу но уже после прохождения цепочки редиректов и с уже установленной реферальной куки. Или сложно отследить подмену cookie прямо в браузере.
Я к тому, что есть и хорошие расширения, которые ставят свою куку только когда пользователь осознанно нажимает например на ссылку в расширении. Возможно сложно найти разницу между двумя этими действиями и нужно же, что бы порядочные расширения не пострадали и не были удалены Касперским.

Если сложно отличить хороших от плохих, может быть можно куда-то сообщать о найденных расширениях, которые используют cookie stuffing?
После прочтения статьи проверил несколько расширений - в одном нашел cookie stuffing на Алиэкспресс. Подозреваю, что таких расширений много, раз я сразу такое нашел.

14 replies

Userlevel 7
Badge +11
После прочтения статьи проверил несколько расширений - в одном нашел cookie stuffing на Алиэкспресс. Подозреваю, что таких расширений много, раз я сразу такое нашел.

Привет @Dwayne,
Добро пожаловать!
Можете ли вы скопировать в текстовый файл ссылку на файл cookie и URL-адрес Aliexpress, чтобы мы могли просмотреть актуальные данные, пожалуйста?
Пожалуйста, не вставляйте данные прямо в свое сообщение, а загрузите файл TEXT, используя значок в своем ответе?
Большое спасибо🙏🏽.

После прочтения статьи проверил несколько расширений - в одном нашел cookie stuffing на Алиэкспресс. Подозреваю, что таких расширений много, раз я сразу такое нашел.
Привет @Dwayne,
Добро пожаловать!
Можете ли вы скопировать в текстовый файл ссылку на файл cookie и URL-адрес Aliexpress, чтобы мы могли просмотреть актуальные данные, пожалуйста?
Пожалуйста, не вставляйте данные прямо в свое сообщение, а загрузите файл TEXT, используя значок в своем ответе?
Большое спасибо🙏🏽.


Здравствуйте. Не совсем понял что куда копировать. Ссылка на файл cookie? Это как? Вы предлагаете мне запустить расришение, что бы оно сделало куки стаффинг, потом взять куки сайта, для которого была установлена кука, сохранить эту куку вместе с адресом страницы Алиэкспресс в текстовый файл куда-то и написать ссылку тут?
Можно быть проще будет, если я вам дам ссылку на расширение для Chrome, вы его установите, откроете developer tools и сами убедитесь? Так то я могу что угодно положить в файл и сказать, что это вон то расширение сделало, что может быть не правдой. Все равно проверять же будете.

И еще вопрос - вы какое-то отношение к Касперскому имеете? Или вы такой же посетитель на этом форуме?
Userlevel 7
Badge +11
Может быть проще, если я дам вам ссылку на расширение для Chrome, вы установите его, откроете инструменты разработчика и убедитесь сами?
Хорошо.
Данные - это то, что запрашивается, чтобы мы могли «видеть» то, что вы «видите», это помогает нам ответить на ваши вопросы.
----
Сообщество состоит из пользователей программного обеспечения Kaspersky (таких как вы), которые все свободно отдают свое время, чтобы помочь другим членам сообщества (таким как вы). Есть небольшая команда сотрудников Касперского - все они четко идентифицированы, bc, их профиль показывает «Сотрудник Лаборатории Касперского». По большей части, и, по моим наблюдениям, желающие помощники занимаются техническим анализом для решения технических проблем.
---
Если вы хотите напрямую пообщаться с Mr. Eugene Kaspersky, вы можете попробовать написать ему.
Если вы хотите сотрудничать с технической группой «Лаборатории Касперского», перейдите по ссылке:
https://support.kaspersky.com/b2c/, выберите МЕСТО, выберите ОБЩЕЕ ИСПОЛЬЗОВАНИЕ ПРОДУКТА, затем выберите один из вариантов:
Телефон (не доступны все места)
Онлайн чат (не доступны все места)
MyKaspersky.com веб-портал, войдите, создайте запрос на инцидент.
Userlevel 7
Badge +7
@Dwayne https://community.kaspersky.com/pravila-povedeniya-na-komyuniti-48/pravila-povedeniya-na-komyuniti-83
Помощь на Комьюнити оказывается как сотрудниками "Лаборатории Касперского", так и другими участниками Комьюнити. Право ответа на открытые запросы имеет любой зарегистрированный участник Комьюнити, не находящийся в состоянии бана.

Если вы желаете получить ответ специалистов, со свяжитесь с технической поддержкой «Лаборатории Касперского», одним из способов, указанных в статье https://support.kaspersky.ru/14667
@FLOOD, @kmscom Спасибо что написали куда обратиться, что бы получить ответ по ситуации.

Расширение для Хрома, о котором я упоминал, которое делает cookie stuffing, я установил Алихантер отсюда https://chrome.google.com/webstore/detail/alihunter-aliexpress-prod/mpajidobdpdigheplhpfggmeldjcpgfh
Куки ставятся автоматом при почти каждом клике на сайте Алиэкспресс через домен https://s.click.aliexpress.com/e/*** - это видно через developer tools.
Userlevel 6
Badge +7
@Dwayne формально ответ на ваш вопрос достаточно прост. Удалять может. Никаких проблем с удалением не возникнет. Для этого нужно только, что бы в вирусных базах была соответствующая запись.
А вот тут есть тонкости. продукция касперского очень лояльна к рекламным расширениям в браузерах. Так что лучше просто не ставьте лишних расширений.
@Denis-NN, я так понимаю по каждому случаю нужна своя запись? А что бы автоматически всех куки стафферов удалять?
И тут важен такой момент - это не рекламные расширения, это мошеннические. Это две совершенно разные вещи. Лоялность к рекламным - я не против, это не мошенничество. А вот куки стаффинг - это действительно мошенничество.
Userlevel 7
Badge +7
@Dwayne еще не известно, какое это отношение имеет к антивирусной защите. может этот вопрос должен решаться компанией Гугл
Userlevel 7
Badge +9
Здравствуйте, @Dwayne ,
Свое пожелание вы можете оставить здесь, там рассмотрят ответственные люди.
На данный момент некоторые такие расширения уже детектируются продуктом, также и ссылки.
Как выше заметил @Denis-NN с удалением проблем нет, нужны детекты.
@kmscom проблема не в Google, способов установить расширений очень много, как и самих браузеров.
Userlevel 7
Badge +7
@Friend конечно не в Google, вернее не в нем одном, а владельцев репозитария расширений браузеров. А про способы установки - отдельный разговор, Лаборатория советует их устанавливать только из официальных источников, это не гарантирует их полной безопасности, но если их устанавливать откуда придется - гарантий еще меньше

Я не видел и не знаю прецедентов, когда бы антивирус удалял бы расширение, удаление их из репозитария - это отдельная песня. Блокирование адресов, с которым пытается установить соединение расширение, это не равно удалению. И было бы странно если бы он их удалял, а если пользователь не хочет его удаления, то как создать исключение?
@kmscom я отвечу за себя. Если расширение ведет противоправную деятельность, а в данном случае его разработчики воры и потенциальные уголовники, то я предпочитаю не пользоваться их расширением. Для меня это очевидно и я хотел бы что бы антивирус удалял такие расширения, сообщив мне причину. Сейчас не 2000 год, для любого расширения найдутся аналоги с нормальными разработчиками не ворами.
Userlevel 7
Badge +7
@Dwayne продукция Лаборатории - антивирусная, а не антипротивоправная. хотя эти области иногда пересекаются.
@kmscom антивирусная - это синоним слово антипротивоправная, разве не так? Если антивирус будет блокировать попытки куки стаффинга, то это будет полезно бизнесу. Как по мне, борьбу с куки стафферами можно очень хорошо использовать антивирусным компаниям в маркетинговых целях при продаже своих продуктов для бизнеса, говоря, что мы в целом с этим очень боремся во всех продуктах и тем самым не даем украсть ваши деньги.
Компьютерное мошенничество, вирусы - это то, за что даже в тюрьму сажают. Мне кажется, вы просто мыслите какими-то еще устаревшими категориями, шаблонами. Говорю не в обиду вам, просто, опять же, мне кажется, что когда по телевизору покажут судебный процесс над куки стафферами, расскажут о том, как они крадут миллионы долларов и как своими действиями приносят огромный ущерб ритейлу - вот тогда что-то в общем сознании сдвинется, когда вам покажут на сколько это плохо, что это вариация вирусов в овечьей шкуре, которой стали заниматься еще вчерашние вирусописатели. Во всех областях все развивается, претерпевает изменения и компьютерное мошенничество не исключение. Мне кажется нужно реагировать на появляющиеся или усиливающиеся угрозы, а не сидеть и смотреть сквозь пальцы. Ущерб от такой деятельности миллионы, а может и десятки миллионов долларов в день. Тут есть поле для деятельности антивирусов.
Userlevel 7
Badge +7
@Dwayne уточните этот вопрос в ТП

Reply