Stop Reclame - списки адварных расширений

Тема в разделе "Прочие инструменты защиты компьютера", создана пользователем mike 1, 10 июн 2015.

  1. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Последнее редактирование модератором: 10 июн 2015
    fseto, shestale и ScriptMakeR нравится это.
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1) Список там на самом деле не такой уж и большой.
    2) В том списке много легальных расширений.
    Так что не стоит этим списком пользоваться и постоянно его рекламировать. Хватит его рекламы в ВК.
     
    Kиpилл и ScriptMakeR нравится это.
  3. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Сможешь привести примеры? :)
     
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Например легальный адблок. А попал он туда из-за того, что иногда встречается фейковый адблок с таким же ID, который разумеется устанавливается не из магазина гугла. Просто та база наполняется без практически без всякой проверки по коментам из ВК, так что и доверие к ней должно быть соответствующее.
     
  5. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Если он с таким же ID, то почему бы его не внести в базу? Различие будет только в версии Адблока, а так не факт, что их расширение удалит настоящий AdBlock.
     
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    если смотреть код, то различие не только в версии (кроме общего названия папки и расширения там вообще ничего общего с настоящим нет). И с адблоком это только один пример который я помню даже не заглядывая на страницу. В тот раз когда сел и начал детально искать инфу по всем расширениям нашёл около десяти фолсов, потом бросил это.
     
    Последнее редактирование: 10 июн 2015
    ScriptMakeR нравится это.
  7. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.209
    Симпатии:
    4.977
    Согласен,список сомнительный.
    Хотя бы кем он составляется,на каких основаниях пополняется?
    Кто анализирует?
     
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    постят в комментах группы в ВК и подозреваю, что никем не проверяется, то есть что запостят то и добавляют в список.
    Изначально это была группа в ВК, потом они решили создать свой сайт и перенесли инфу из ВК и стали себя раскручивать.
     
    Kиpилл нравится это.
  9. Denys
    Оффлайн

    Denys Новый пользователь

    Сообщения:
    3
    Симпатии:
    6
    Всем добрый день!
    Я создатель расширения Stop Reclame.

    Неверно, сначала появилось расширение (первый раз опубликовано в сторе 18 декабря 2013) и много времени спустя появилась группа.

    Активность в группе ВК низкая, может про 2-3 расширения кто-то и написал из 1125.
    Основным инициатором анализа расширения являются отчеты пользователей (пользователь может отправить отчет через расширения со скриншотом и прикрепленным списком установленных расширений).
    Если мы видим что на сайте нет рекламы, то начинаем анализ расширений.
    Вот примеры наших обзоров расширений:
    http://habrahabr.ru/post/257361/
    http://habrahabr.ru/post/255801/

    90% расширений из данного списка содержат вредоносный код. Оставшиеся 10% распространяются непонятным образом, в обход Store, что в принципе запрещено Google.

    Я анализирую, примеры анализа выше указаны.

    Плохой пример. Мы не блокируем оригинальный adblock. Блокировка строится по хешу на основании id, name расширения и других параметров. А вот adblock который распространяется непонятным образом — да, его блокируем.

    Расширение абсолютно бесплатное, никаких способов монетизации не предвидится, в отличии от всяких adblock и их неблокировки тех, кто им платит.
     
    fseto, ScriptMakeR и mike 1 нравится это.
  10. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Вот пара их статей http://habrahabr.ru/post/255801/, http://habrahabr.ru/post/257361/
     
  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.209
    Симпатии:
    4.977
    Denys, хорошо.
    Тогда к вам вопросы.
    Почему это расширение в списке,за что?
    cfhdojbkjhnklbpkdaibdccddilifddb

    И еще,анализ производите только вы или есть команда?
    Все к актуальности детекта.

    Все таки есть ли четкие условия блокировки:
    1)тыры
    2)пыры
    3)...
     
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Смотря с какой точки зрения смотреть. Майк уже не первый раз ссылается на ваш сайт именно как на базу со списком адварных расширений.
    Меня как хелпера интересуют в основном ID расширений, на ваш сайт и группу натыкался именно через гугол в поисках ID расширения.
    То есть алгоритм такой: хелпер видит в логе ID расширения, начинает искать информацию о нём (в том числе и в гугле), находит, что оно находится в списке вредоносных и удаляет. Если использовать этот список как базу для другой утилиты, то это будет расцениваться как фолс.
    Самим расширением я не пользовался, тем более что использую только Opera Presto.
     
  13. Denys
    Оффлайн

    Denys Новый пользователь

    Сообщения:
    3
    Симпатии:
    6
    1.
    По cfhdojbkjhnklbpkdaibdccddilifddb
    Блокируется расширение c id=cfhdojbkjhnklbpkdaibdccddilifddb и name=cfhdojbkjhnklbpkdaibdccddilifddb

    Ну т.е. нет расширения в Store с наименованием cfhdojbkjhnklbpkdaibdccddilifddb и есть вероятность что кто-то неудачно маскируется под adblock.
    Помимо предположения выше, связывались с разработчиком из Google, точнее они с нами связались, а в ходе переписки задали им следующий вопрос:

    Ответа не получили, поэтому пока данная связка блокируется, но на сам AdBlock никак не влияет

    2.
    Есть команда из 3х человек, но за блокировку в основном отвечаю я, исключения могут составлять только банальные случаи.
    Например: при установке расширения с названием "ace race", появляются блоки с таким же названием, то тут любой может заблокировать.

    3.
    Четкие условия:
    — расширение вставляет рекламу
    — расширение может выполнить любой код на любой странице подгруженный из вне (есть множество вариантов как это сделать)
    — расширение собирает данные о пользователе без согласия

    Для определения этих условий иногда достаточно визуального анализа (легкий случай), иногда нужно полностью разобрать (как в статьях на хабре) (тяжелый случай).
    Для "среднего" случая используются некоторые свои наработки, в принципе аналогичные работе антивирусов. Но они и представляют наибольшую ценность и возможно когда-нибудь кого-нибудь заинтересуют.
     
    SNS-amigo нравится это.
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Я сейчас специально поставил себе на виртуалку Гугол Хром, затем скачал и установил McAfee SiteAdvisor после чего установил Stop Reclame. В результате

    Снимок.PNG

    McAfee SiteAdvisor.PNG
    По вашему это адварь? Почему вы его называете вредоносным?
     
  15. Denys
    Оффлайн

    Denys Новый пользователь

    Сообщения:
    3
    Симпатии:
    6
    Уже более 1.5 лет Google запрещает установку расширений в обход Store:
    http://my-chrome.ru/2013/11/s-yanva...ustanovka-rasshirenij-ne-iz-chrome-web-store/

    Зачастую, наиболее популярные расширения мы не трогаем, этому к сожалению не повезло. Посмотрим дополнительно код из инсталятора по ссылке (спасибо за ссылку).

    Итак, что имеем:
    1. Есть расширение которое распространяется в обход Store, через инсталяторы.
    2. Данный способ распространения не приветствует ни один из крупных браузеров.
    3. Расширение из инсталятора фактически проверить нельзя, оно нигде не публикуется. Сегодня к одним пользователям установилось расширение SiteAdvisor с одним кодом, завтра другим пользователям с другим кодом, либо можно отдавать в один и тот же момент разными пользователям разные инсталяторы. (Сегодня оно не отправляет пользовательские данные, завтра отправляет и т.п.)
    4. Разработчики данного расширения могли опубликовать его в Store и после установки своего софта предлагать его скачать, выдавая ссылку на скачивание, но они этого почему-то не сделали.

    Исходя из вышесказанного — мне не нравятся расширения устанавливающиеся в обход стора, потому что их нельзя проверить (никто не знает сколько версий их существует и как их все получить для анализа).

    А по поводу того что это контора с известным именем, могу привести пример другой не менее известной конторы Comodo со своим расширением PrivDog:
    http://www.theregister.co.uk/2015/02/24/comodo_ssl_privdog/
    Расширение распространялось также через инстал, меняло рекламу и поисковую выдачу на свою.
    --- Объединённое сообщение, 10 июн 2015, Дата первоначального сообщения: 10 июн 2015 ---
    И еще один момент.
    Мы не просто блокируем расширения в одностороннем порядке.
    Также ведется переписка по некоторым расширениям с сотрудниками из Opera и Yandex, реже Google.
    И пока они не просили разблокировать версии некоторых расширений, которые распространяются в обход их Store.
    Хотя если они скажут, что да это расширение может распространяться в обход их магазина и они считаем это нормальным, мы его удалим из базы.
    Так что любой разработчик расширения, который распространяет расширение в обход store, может связаться с соответствующим браузером и написать что мы плохие его блокируем.
     
    mike 1 и SNS-amigo нравится это.
  16. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.209
    Симпатии:
    4.977
    Denys, очень интересно.
    Тоже воткнул расширение,на выходных содержимое плагина полистаю.
     

Поделиться этой страницей