Alerta: La extensión de MEGA para Chrome ha sido hackeada
Publicaciones recientes en Twitter y Reddit, también a través de la cuenta oficial Monero (XMR), advirtieron sobre la posibilidad de que la extensión MEGA para Chrome en su versión 3.39.4 ha sido comprometida.
Los usuarios advierten que la extensión está programada para robar nombres de usuario y contraseñas de los portales de Amazon, GitHub, Google y Microsoft. El subreddit de Monero advierten que los tokens XMR pueden estar en riesgo si están instalados, y un usuario de la ingeniería de seguridad ha aconsejado desinstalar la extensión inmediatamente.
Está versión comprometida solicita nuevos permisos
La actualización de la extensión Chrome Mega solicitó un nuevo permiso el de leer los datos todos los sitios web.
Lo raro es que en el GitHub de MEGA donde tienen el código fuente de la extensión en no hubo commit recientemente.
Esto posiblemente parece ser que hackearon su cuenta de Google Webstore o alguien dentro de MEGA hizo esto.
Declaraciones de Mega sobre el suceso
"El 4 de septiembre de 2018 a las 14:30 UTC, un atacante desconocido subió una versión troyanizada de la extensión de Chrome de MEGA, en su versión 3.39.4, a la tienda web Google Chrome".
"Tras la instalación o la actualización automática, solicitaría permisos elevados (Leer y cambiar todos sus datos en los sitios web que visites) que la extensión real de MEGA no requiera y que si se le otorgan permisos permitiría robar las credenciales de sitios como amazon.com
, github.com
, google.com
(para el inicio de sesión del almacén web), myetherwallet.com
, mymonero.com
, idex.market
y HTTP POST request de otros sitios web se envían a un servidor ubicado en Ucrania. Tenga en cuenta que las credenciales de mega.nz no están siendo exfiltradas".
Dado que Google eliminó la posibilidad de que los editores firmen sus extensiones esto da lugar a tener que confiar en que Google los firmará después de que se cargue la extensión. Esto hace que sea más fácil que ocurran los hackeos externos.
"Nos gustaría disculparnos por este importante incidente. MEGA utiliza estrictos procedimientos de publicación con revisión de código multipartita, flujo de trabajo robusto y firmas criptográficas siempre que sea posible".
"Desafortunadamente, Google decidió rechazar las firmas de los editores en las extensiones de Chrome y ahora solo depende de que las firmes automáticamente después de subirlas a la tienda web de Chrome, lo que elimina una barrera importante para el compromiso externo. MEGAsync y nuestra extensión Firefox están firmadas y alojadas por nosotros y podrían por lo tanto, no hemos sido víctimas de este vector de ataque. Aunque nuestras aplicaciones móviles están alojadas por Apple/Google/Microsoft, están firmadas criptográficamente por nosotros y, por lo tanto, son inmunes".