Важная информация для пользователей расширений SaveFrom.net, Frigate и некоторых других

24 December 2020
61k full reads
1 min.
142k story viewsUnique page visitors
61k read the story to the endThat's 43% of the total page views
1 minute — average reading time

Наша команда приняла решение отключить в Яндекс.Браузере расширения SaveFrom.net, Frigate Light, Frigate CDN и некоторые другие. Мы пошли на этот шаг, потому что проверка их исходного кода выявила потенциально опасное и недобросовестное поведение. Мы понимаем, что эти инструменты достаточно популярны среди пользователей, поэтому расскажем о проблеме подробно.

О какой проблеме идёт речь

В ноябре мы узнали о том, что аудитория популярных браузеров используется для накрутки просмотров в сервисах онлайн-кинотеатров. Для этого используются браузерные расширения, которые, помимо выполнения основной функции, умеют воспроизводить видео в тайне от пользователей на их компьютерах. Видео включается на невидимой, фоновой странице расширения в беззвучном режиме, поэтому не привлекает внимание пользователей.

Несмотря на то что видео скрыто от глаз пользователей, на их загрузку тратится существенный сетевой трафик. Кроме того, воспроизведение создаёт нагрузку на вычислительные ресурсы компьютера.

Помимо тайного воспроизведения видео, в исходном коде были найдены функции, которые могут использоваться для перехвата oAuth-токенов сервиса ВКонтакте. Такое поведение потенциально опасно для пользователей соцсети.

Также в исходном коде расширений содержится механизм, который позволяет динамически загружать и выполнять любой произвольный код (сколь угодно опасный) без обновления самих расширений и в обход модерации каталогов.

Какие меры мы предпринимаем

Мы считаем, что подобное поведение потенциально опасно и недобросовестно, поэтому отключим уже установленные копии расширений в Яндекс.Браузере. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения.

Кроме того, мы переслали технические результаты нашего анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов. Также в ходе исследования было обнаружено более двух десятков менее популярных браузерных расширений, использующих аналогичный код. Их мы также отключаем.

Что делать, если эти расширения необходимы

Если альтернатив нет, а функции отключенных расширений необходимы настолько, что вы готовы пойти на осознанный риск, то включить их вновь можно в разделе «Дополнения» в настройках Яндекс.Браузера для компьютеров. Но мы настоятельно рекомендуем так не поступать. При этом в Яндекс.Браузере для Android расширения отключаются без возможности включить их вновь по техническим причинам.

Более подробный анализ поведения расширений мы опубликовали в нашем техническом блоге Яндекса на Хабре, где уже обсуждаем проблему с сообществом.