Sign in

Зарегистрируйтесь, чтобы стать полноправным участником сообщества Masterpro.ws.

Web of Trust: мошенничество. Финал

Окончание 2016 интернет-года ознаменовалось долгожданным событием. Несмотря на то, что произошедшее оказалось событием вполне ординарным и задолго до того предсказанным: нелицеприятная история Web of Trust практически не имела шансов закончиться иначе, чем наконец закончилась.

Web of Trust. Мошенничество
Web of Trust. Мошенничество

Популярное расширение для браузеров Web of Trust (WOT), показывавшее, согласно уверениям владельцев проекта, рейтинг безопасности посещаемых сайтов - заблокировано Google и Mozilla после опубликованной информации о продаже владельцами Web of Trust данных своих пользователей.

Да, именно так. Неужели вы ожидали чего-то иного? Мошенники наконец названы своим настоящим именем: мошенники. Что здесь удивительного? Достаточно давно эта затея пахла весьма и весьма невкусно: то и дело в Сети появлялись публикации о шантаже и вымогательствах, допускаемых сотрудниками и модераторами WOT, не брезговавшими прибегать к очевидным накруткам с целью очернения репутации того или иного web-ресурса; не стал исключением и этот сайт, опубликовавший в недавнем прошлом две статьи, по-прежнему доступные по тегу Web of Trust: полюбопытствуйте. И вот, в ноябре 2016 года т.н. Web Of Trust оказался наконец элементарно пойманным на продаже данных своих пользователей неким третьим компаниям. Расследование, проведенное журналистами немецкого телеканала NDR, пролило свет на крайне некрасивые факты, вполне укладывающиеся в уже употребленный мной термин мошенники... согласно информации от Svea Eckert, Jasmin Klofta и Jan Lukas Strozyk, сотрудники NDR сумели получить доступ (у нас в России это называется контрольная закупка) к данным аж трех миллионов посещений сайтов немецкими пользователями: вся эта безусловно приватная (см. Terms of Service WOT на тот период) статистика была собрана посредством плагина Web of Trust, и предлагалась владельцами Web of Trust в качестве бесплатного (!) образца предназначенных к продаже (!!!) данных. По полученным материалам журналисты сумели деанонимизировать около 50 человек, что оказалось совсем несложным делом: данные содержали, в частности, медицинские сведения о заболеваниях, сексуальные предпочтения, информацию о полицейских расследованиях и наркотической зависимости.

На момент публикации материала расширения Web of Trust недоступны в каталогах Mozilla и Google Chrome, приложение Web of Trust удалено из Play Market.

 

Пользователям настоятельно рекомендуется вручную удалить дополнения Web of Trust из своих браузеров.

 

Кроме того, анализ кода Web of Trust выявил бэкдор, позволяющий инициировать в системе злонамеренный скрипт, технические подробности доступны далее по ссылкам на источники. Аудит безопасности подписан экспертом по анализу расширений Firefox WebExtensions, называющим себя Rob: "Плагин WOT способен исполнять произвольный код на любой странице, включая внутренние страницы браузера. Критическая опасность. WOT способен выполнить широкий спектр злонамеренных действий - от кражи личных финансовых данных до установки вредоносного ПО на ПК пользователя".

 

Источники:
Nackt im Netz: Millionen Nutzer ausgespäht
WOT-Addon: Wie ein Browser-Addon seine Nutzer ausspäht
Gist.github.com/Rob--W

2 комментарии

  • Aleksej

    написал Aleksej

    Четверг, 13 апреля 2017 00:59

    Чушь, Александр, беспросветная чушь. Безграмотная дичь; можно охарактеризовать и так. Либо ангажированность - выбирайте, что вам более по вкусу. Но прежде погуглите по фразе "выполнение произвольного кода", откроете для себя, вероятно, немало интересного; "на это способен любой браузер и они это делают" - очередная безграмотная инсинуация. Выполнение произвольного кода, будь то браузером Opera, либо Adobe Flash Player, или libcurl, любым иным пакетом/софтом - весьма критичная уязвимость, которой присваивается, как видим, наивысший приоритет, это всегда аврал, на решение которого в самые кратчайшие сроки мобилизуются все доступные резервы - так для любого разработчика, кроме деляг из Web of Trust, плотно занятых, вероятно, сугубо продажами данных своих пользователей. В принципе, если вы пожелаете бросить вызов безопаснику из Firefox WebExtensions, вынесшему WOT именно такой вердикт - бэкдор - это интересно; но сделайте это, пожалуйста, на техническом языке, а не скороговоркой непрофессионального пиара. Всю вашу техническую аргументацию, все ошибки, найденные вами в логике Роба, please - в студию; если же техническая аргументация у вас "при наличии отсутствия", то избавьте нас здесь от безграмотной своей болтовни, опубликована она не будет.

  • Александp

    написал Александp

    Среда, 12 апреля 2017 20:22

    WOT - стала задевать очень крупных мошенников и с ней решили разобраться...
    Я читал об процессе и обвинениях -невооруженным глазом видно-подстава и наезд.

    А насчет исполнения любого кода и кражи данных - вообще бред - на это способен любой браузер.
    (и они это делают)
    То же можно сказать и о системе Windows.

Оставить комментарий

Добавьте ваш комментарий