Скрытый доступ Chrome-плагинов к профилям Facebook грозит новыми утечками

Татьяна Никитина 18 Февраля 2022 - 08:53

Домашние пользователи

Корпорации

Утечки информации

Умышленные утечки информации

Кража данных

Facebook

...

Многие расширения Chrome, облегчающие взаимодействие с Facebook, используют сеансовые токены пользователя для доступа к нужной информации через Graph API соцсети. Как оказалось, некоторые из этих плагинов отсылают данные из профиля на свой сервер без согласия и ведома пользователя, а также в нарушение политик Meta.

Подобная возможность создает риск массовой утечки данных фейсбукеров, и в случае злоупотребления доступом к Graph API соцсеть может вновь оказаться в центре скандала, как это уже было в 2018 году (весна, Cambridge Analytica, и осень, кража токенов через функцию View As).

На прошлой неделе компания Brave заблокировала в своем браузере загрузку расширения L.O.C. из Chrome Web Store. Плагин, помогающий юзерам автоматизировать некоторые задачи в Facebook, пользуется популярностью — его скачали из магазина Google около 700 тыс. раз, однако в Brave сочли, что он ставит под угрозу конфиденциальность пользователей.

Как выяснил The Register, используемые L.O.C. токены доступа (текстовая строка из 192 букв и цифр) можно легко получить обращением к Creator Studio — это веб-приложение Facebook отдает их в ответ на запрос GET. Свидетельств того, что плагин злоупотребляет доступом к данным в соцсети, не обнаружено, однако разработчику все же пришлось вместе с Brave заняться приведением его в соответствие с нормами безопасности и приватности.

В Chrome Web Store имеются еще несколько расширений, использующих Creator Studio для получения токенов доступа к данным в Facebook:

J2TEAM Security (200 000 загрузок),
MonokaiToolkit (10 000),
FBVN (80 000),
KB2A Tool (50 000).

Все эти продукты — результат работы Facebook-группы, популярной у разработчиков, говорящих на вьетнамском языке. Они используют сеансовые токены соцсети для предоставления услуг, отсутствующих в ее ассортименте, но пользователей при этом не ставят в известность об обработке их данных.

В ответ на запрос The Register о комментарии представитель Meta заявил, что таким расширениям Chrome обычно недоступны данные сверх тех, которыми может оперировать владелец Facebook-аккаунта. Тем не менее, в компании признают наличие рисков и факт нарушения правил соцсети.

Бороться с такими проблемами без помощи Google невозможно, и Meta, как сказано в ответном письме, неоднократно просила создателя Chrome удалить провинившиеся плагины из загрузок. Разработчику L.O.C. было направлено письмо-претензия; ему даже запретили пользоваться платформой, но все эти меры не могут деактивировать плагин в браузерах фейсбукеров.

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Екатерина Быстрова 28 Января 2026 - 12:40

Windows Эксплойты Уязвимости программ Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Google

Уязвимость WinRAR стала массовым орудием киберпреступников

Уязвимость в WinRAR, о которой стало известно ещё летом, оказалась куда популярнее, чем ожидалось. По данным Google Threat Intelligence Group (GTIG), брешь активно используют сразу несколько группировок — от государственных APT до обычных киберпреступников, работающих «за процент».

Речь идёт о серьёзной ошибке класса path traversal (выход за пределы рабочего каталога) под идентификатором CVE-2025-8088, связанной с механизмом Alternate Data Streams (ADS) в Windows.

С её помощью злоумышленники могут незаметно записывать вредоносные файлы в произвольные каталоги системы — например, в папку автозагрузки, обеспечивая себе устойчивость после перезагрузки компьютера.

Изначально уязвимость обнаружили исследователи ESET. В начале августа 2025 года они сообщили о соответствующих кибератаках группировки RomCom. Однако свежий отчёт Google показывает: эксплуатация началась ещё 18 июля 2025 года и продолжается до сих пор, причём сразу несколькими типами атакующих.

Схема атаки обычно выглядит так: в архиве WinRAR прячется безобидный файл-приманка — например, PDF-документ. При этом внутри того же архива через ADS скрываются дополнительные данные, включая вредоносную нагрузку.

Пользователь открывает «документ», а WinRAR в фоновом режиме извлекает скрытый файл с обходом путей и сохраняет его в нужное атакующему место. Часто это LNK, HTA, BAT, CMD или скрипты, которые запускаются при входе в систему.

Среди правительственных кибергрупп, замеченных Google за эксплуатацией CVE-2025-8088, — целый «звёздный состав»:

UNC4895 (RomCom/CIGAR) рассылала фишинговые письма украинским военным и доставляла загрузчик NESTPACKER (Snipbot).
APT44 (FROZENBARENTS) использовала вредоносные ярлыки и украиноязычные приманки для загрузки дополнительных компонентов.
TEMP.Armageddon (CARPATHIAN) до сих пор применяет HTA-загрузчики, оседающие в автозапуске.
Turla (SUMMIT) распространяла свой набор инструментов STOCKSTAY, маскируя атаки под материалы для ВСУ.

Также зафиксированы китайские группировки, которые применяли эксплойт для доставки POISONIVY через BAT-файлы.

Но на этом всё не заканчивается. GTIG отмечает, что уязвимость активно используют и финансово мотивированные злоумышленники. Через WinRAR они распространяют популярные трояны и стилеры — XWorm, AsyncRAT, бэкдоры под управлением Telegram-ботов, а также вредоносные расширения для браузера Chrome, ориентированные на банковские данные.

По оценке Google, большинство атакующих не писали эксплойт сами, а просто купили готовое решение у специализированных продавцов. Один из таких поставщиков, известный под псевдонимом «zeroplayer», рекламировал рабочий эксплойт для WinRAR ещё летом.

Причём это далеко не единственный его «товар»: ранее он предлагал 0-day для Microsoft Office, удалённое выполнение кода в корпоративных VPN, локальное повышение привилегий в Windows и даже обходы средств защиты — по ценам от 80 до 300 тысяч долларов.