Форум
О какой проблеме идёт речь
В ноябре мы узнали о том, что аудитория популярных браузеров используется для накрутки просмотров в сервисах онлайн-кинотеатров. Для этого используются браузерные расширения, которые, помимо выполнения основной функции, умеют воспроизводить видео в тайне от пользователей на их компьютерах. Видео включается на невидимой, фоновой странице расширения в беззвучном режиме, поэтому не привлекает внимание пользователей.Несмотря на то что видео скрыто от глаз пользователей, на их загрузку тратится существенный сетевой трафик. Кроме того, воспроизведение создаёт нагрузку на вычислительные ресурсы компьютера.
Помимо тайного воспроизведения видео, в исходном коде были найдены функции, которые могут использоваться для перехвата oAuth-токенов сервиса ВКонтакте. Такое поведение потенциально опасно для пользователей соцсети.
Также в исходном коде расширений содержится механизм, который позволяет динамически загружать и выполнять любой произвольный код (сколь угодно опасный) без обновления самих расширений и в обход модерации каталогов.
Более подробный анализ поведения расширений мы опубликовали в нашем техническом [url=https://habr.com/ru/company/yandex/blog/534586/?utm_referrer=https%3A%2F%2Fzen.yandex.com%3Fyzclid%3D2948314577543318689&yzclid=2948314577543318689&utm_source=yandex.zen&utm_medium=article&utm_campaign=5fe46c26fc74c84dedcb2454&utm_content=%D0%92%D0%B0%D0%B6%D0%BD%D0%B0%D1%8F %D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D1%8F %D0%B4%D0%BB%D1%8F %D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D0%B5%D0%B9 %D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%80%D0%B5%D0%BD%D0%B8%D0%B9 SaveFrom.net%2C Frigate %D0%B8 %D0%BD%D0%B5%D0%BA%D0%BE%D1%82%D0%BE%D1%80%D1%8B%D1%85 %d0%b4%d1%80%d1%83%d0%b3%d0%b8%d1%85&utm_term=%D0%B1%D0%BB%D0%BE%D0%B3%D0%B5 %D0%AF%D0%BD%D0%B4%D0%B5%D0%BA%D1%81%D0%B0]блоге Яндекса[/url] на Хабре, где уже обсуждаем проблему с сообществом.
Какие расширения приводят к проблеме
В ходе мониторинга активности расширений и анализа их исходного кода нам стало известно о нескольких таких инструментах. В их числе SaveFrom.net, Frigate Light и Frigate CDN.
Какие меры мы предпринимаем
Мы считаем, что подобное поведение потенциально опасно и недобросовестно, поэтому отключим уже установленные копии расширений в Яндекс.Браузере. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения.
Кроме того, мы переслали технические результаты нашего анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов. Также в ходе исследования было обнаружено более двух десятков менее популярных браузерных расширений, использующих аналогичный код. Их мы также отключаем.
Что делать, если эти расширения необходимы
Если альтернатив нет, а функции отключенных расширений необходимы настолько, что вы готовы пойти на осознанный риск, то включить их вновь можно в разделе «Дополнения» в настройках Яндекс.Браузера для компьютеров. Но мы настоятельно рекомендуем так не поступать. При этом в Яндекс.Браузере для Android расширения отключаются без возможности включить их вновь по техническим причинам.
Черчилль
