Frigate не работает в яндекс браузере

Обновлено: 22.01.2025

Совсем недавно я обнаружил, что у меня перестали работать некоторые браузерные расширения, а именно FriGate и SaveFrom. Если кто-то не знает, то SaveFrom позволял скачать музыку и видео с различных сайтов, а frigate расширяет возможности браузера по настройке прокси. Это довольно популярные расширения и наверняка многие из Вас слышали про них или использовали.

Я решил выяснить в чем проблема и что могло, случилось сразу с двумя расширениями? Первым делом я подумал, что каким-то образом отключил их. Зашел в дополнительные инструменты -> Расширения и увидел интересную картину, возле наименования расширения Frigate и SaveFrom красным цветом написано - это расширение содержит вредоносное ПО и браузер автоматически отключил эти расширения без возможности включить их обратно.

Google Chrome предупредил меня об вредоносном ПО в расширении FriGate Google Chrome предупредил меня об вредоносном ПО в расширении FriGate

Потом я решил поискать эти расширения в магазине Chrome и их там тоже не оказалась. Оставалось только поискать информацию в интернете. Не успел я набрать в адресной строке слово Frigate, как мне уже поисковик выдавал автоматически поисковой запрос со следующих содержанием Frigate вредоносное ПО. И в выдаче на первом месте сайт антивируса Касперского.

Проверка на наличие расширения FriGate в магазине Google Chrome Проверка на наличие расширения SaveFrom в магазине Google Chrome Проверка на наличие расширения FriGate в магазине Google Chrome

Если вкратце, то на сайте говорится, что специалисты из Лаборатории Касперского совместно коллегами из компании Яндекс обнаружили подозрительную активность некоторых браузерных расширений, в этот список попали FriGate lite, FriGate CND и SaveFrom . Эти расширения пытались загрузить вредоносный код с удаленного сервера. Который в фоновом режиме запускал видео на онлайн-кинотеатрах и тем самым накручивал просмотры . Запускался этот механизм только во время активного использования браузера, а некоторые пользователи жаловались на воспроизведение голосовых дорожек от скрытого видео. Также этот вредоносный код перехватывал доступ к социальной сети Вконтакте , как предполагают специалисты из Лаборатории Касперского, что данные от социальной сети требовались для накрутки лайков. Поэтому данные расширения были расценены, как вредоносное ПО и удалены из Браузерных магазинов.

Для меня интересно одно, почему разработчики этих браузерных расширений не предприняли ни каких мер? Или это разработчики решили немного заработать и сами встроили этот вредоносный код? Наверное в этом случае можно применить поговорку - Бесплатный сыр бывает только в мышеловке. На сколько я помню Frigate и так выдавал рекламу на некоторых сайтах, но ее можно было отключить в настройках самого расширения. Видимо такой рекламы разработчикам было недостаточно и они решили заработать побольше. Теперь придется использовать какой-то аналог, напишите в комментариях какой аналог будете использовать Вы . А вместо расширения SaveFrom, можно зайти на их официальный сайт, вставить ссылку с видео или музыкой и скачать, но, где гарантия, что вместе с видео или музыкой мы не скачаем какой-нибудь троян? Доверие к таким ресурсам лично у меня пропало.

Вот такие вот были бесплатные расширения для браузеров, используя которые можно было остаться без учетной записи от социальной сети. Как думаете появятся ли они снова в браузерных магазинах, будет ли удален этот вредоносный код и установите ли вы их себе снова?

На этом наш очередной пост подошел к концу, спасибо за внимание, не забудьте подписаться на наш канал, поставить лайк этой записи, впереди много интересной и полезной информации и да, это наш первый пост в этом году, хочу поздравить всех с Новым годом!

О frigate

Предпосылки

В компанию Яндекс посыпались жалобы от пользователей, о том что в браузере стали появляться звуки рекламы без видимых на то причин. При этом видеоролики которые могли издавать подобные звуки отсутствовали.

Что опасного было в расширениях.

Frigate

Все версии расширения frigate (CDN и Light) имели общий кусок кода. Который отвечал за динамическую подгрузку и исполнение JS-скриптов. При этом функционал кода был очень хитроумно запрятан. Что противоречит правилам размещения приложений в Chrome Web Store, в магазинах которого присутствовало данное расширение.

По факту каждый час расширение отправляло запрос в командный сервер. После получения зашифрованного ответа из центра, происходила декодировка с последующим выполнением произвольных JS-скриптов.

Итоги

Все проанализированные расширения имели возможность выполнять динамические JS-коды, получаемые от разработчиков. Причем эти коды могли не только воспроизводить скрытые видео в беззвучном режиме, но угрожать безопасности пользователей. Вплоть до распространения персональных данных. Подгружать можно было все что угодно.

В ходе проводимых исследований было выявлено около 30 менее распространенных браузерных дополнений использующих схожий код. Которые были так же заблокированы.

acdfdofofabmipgcolilkfhnpoclgpdd (VDP: Best Video Downloader)

oobppndjaabcidladjeehddkgkccfcpn (Y2Mate — Video Downloader)

mbacbcfdfaapbcnlnbmciiaakomhkbkb (friGate CDN)

mdnmhbnbebabimcjggckeoibchhckemm (friGate Light)

hdbipekpdpggjaipompnomhccfemaljm (friGate3 proxy helper)

Последствия

После публикации отчета Яндекса в блоге на habre

За дело принялись остальные поисковики GoogleChrome и Opera.

Оба, помимо блокировки уже установленных плагинов, удаляют расширения из своих магазинов дополнений. О чем сразу же опечалились пользователи.

Разработчики расширений прокомментировали случившееся в своих телеграмм каналах.

И видимо в срочном времени стали принимать меры по устранению нарушений. После чего некоторые вновь появились в каталогах расширений.

Предыстория

Некоторое время назад пользователи Яндекс.Браузера стали обращаться в поддержку с жалобами на странный звук, который можно было принять за аудиорекламу. Примеры таких жалоб:

Общение с пользователями помогло нам понять, что источником звука на самом деле была видеореклама. Но странность заключалась в том, что никакое видео в этот момент на экране не воспроизводилось. Сначала мы подумали, что оно проигрывалось в другой открытой вкладке или за пределами видимости, но эта гипотеза не подтвердилась. Начали запрашивать у пользователей дополнительную информацию. В том числе список установленных расширений.

Новая история

При этом в поддержку на посторонний звук больше никто не жаловался. Это можно было легко объяснить сознательным исключением аудитории Яндекс.Браузера из целевой. Подобные попытки избежать внимания со стороны нашего антифрода мы уже неоднократно встречали в прошлом при анализе поведения расширений из Chrome Web Store (напомним, что наш браузер поддерживает установку в том числе из этого каталога).

Но всё оказалось куда проще: на этот раз фоновое воспроизведение видео проходило в беззвучном режиме. Вскоре коллеги из Службы информационной безопасности выяснили, что проблема затрагивает не только внешних пользователей нашего браузера, но и даже наших коллег. Так мы получили проблемные ноутбуки для исследования и наконец-то смогли детально разобраться в происходящем.

Далее мы поделимся с вами результатами нашего анализа. Приведём фрагменты исходного кода и объясним суть их работы. Начнём с объяснения того, как функциональность может подгружаться в расширение без его обновления, и закончим, собственно, воспроизведением видео на компьютере ничего не подозревающего пользователя.

Динамическая загрузка и выполнение кода

Frigate

(полный код расширения доступен по ссылке)

Оба расширения из этого семейства (Light и CDN) имеют один и тот же участок кода, который отвечает за динамическую подгрузку и исполнение JS-скриптов. Специалистам рекомендую обратить внимание на то, как хитро тут спрятана функция eval(). Кстати, обфускация кода и скрытие функциональности запрещены в Chrome Web Store.

Раз в час расширения совершают запрос к командному серверу в обработчик /ext/stat. При первом запросе им выставляется cookie, которая содержит uuid пользователя. Ответ сервера декодируется и попадает в функцию debug(), которая, по сути, является функцией eval() для выполнения JS-кода.

(полный код расширения также доступен по ссылке)

На 19122-й строке файла background.js начинается блок сбора и выполнения кода.

Стоит обратить внимание на строку “x = m(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)”, которая аналогична “fromCharCode(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)” из расширения Frigate.

Далее идёт большой switch, который ответственен за загрузку и выполнения JS-кода.

По блокам выполнение происходит так:

Одинаковая часть для всех расширений

/ext/stat

Итак, все рассматриваемые расширения имеют возможность динамически выполнять JS-код, который они получают раз в час из обработчика /ext/stat. Этот JS-код в разные моменты времени может быть любым, сколь угодно опасным. Скрытое воспроизведение видео может быть лишь одним из множества возможных симптомов. Но поймать (и задокументировать) подобные симптомы не так-то и просто. Поначалу мы пытались дампить трафик через функциональность браузера, но это не приносило результатов. Даже начали сомневаться, что выбрали правильный путь. Обратились к более медленному, но надёжному варианту: завернули весь трафик через Burp Suite (это такая платформа для анализа безопасности веб-приложений, которая, среди прочего, позволяет перехватывать трафик между приложением и браузером).

Вскоре детальный анализ трафика принёс плоды. Оказалось, что наши предыдущие попытки получить правильный ответ были неуспешны из-за конфига dangerRules. Он содержал список адресов, после посещения которых потенциально опасная деятельность прекращалась.

Декодированный base64 из /ext/stat, который содержит dangerRules

Обратите внимание: сомнительная активность прекращалась, если пользователь открывал адрес поддержки Яндекс.Браузера или служебную страницу для анализа трафика. Хитро!

Расследование продолжилось. Предстояло разобраться с обработчиком /ext/up, которому и передавался конфиг. Его ответ был сжат и зашифрован, а код обфусцирован. Но это нас не остановило.

/ext/up

Ещё один обработчик с исполняемым кодом. Его ответ маскируется под GIF-картинку.

Расшифрованный ответ содержит JSON с тремя кусками кода. Названия блоков намекают на контекст исполнения кода: bg.js (применяется на фоновой странице расширения), page.js (используется для инъекций в просматриваемые страницы), entry_point.js (код, который отдаётся на /ext/stat).

Кроме того, в bg.js мы видим код, который подменяет браузерный API, чтобы просмотры засчитывались даже при скрытом видео.

/ext/def

Предположительно, этот обработчик отвечает за отдачу списка текущих заданий для открутки видео. Запрос клиента и ответ сервера сжаты и зашифрованы на ключе из параметра hk.

В результате выполнения выданного задания видно, что браузер открывает видеоплеер и включает в нём видео. При этом сам видеоплеер не виден пользователю и действие происходит скрытно.

/ext/beacon

Отчёт о выполнении задания расширение отправляет на /ext/beacon. С уже знакомым нам сжатием и шифрованием.

Краткий пересказ того, что делают расширения

Повторим ещё раз всё то же самое, но кратко.

1. Расширения запрашивают с сервера конфиг, в котором содержится адрес другого, командного сервера с обработчиком /ext/stat .
2. Обработчик /ext/stat присваивает уникальный uuid пользователю.
3. Каждый час расширения совершают запрос на адрес /ext/stat и исполняют код, полученный в ответе.
4. Скрипт с /ext/stat совершает запрос на /ext/up, получает сжатый основной код для выполнения cкрипта.
5. Выполнение скрипта с /ext/up может активировать функциональность перехвата access_token'ов ВКонтакте при их получении пользователем. Перехваченные токены могут отправляться на /ext/data.
6. Скрипт с /ext/up получает список заданий с /ext/def. Запрос и ответ шифруются на ключе, переданном в параметре hk.
7. Видео с рекламой воспроизводится в браузере втайне от пользователя.
8. Отправляется отчёт на /ext/beacon.

Принятые нами меры

Кроме того, мы передали результаты нашего технического анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов.

Также в ходе исследования было обнаружено более двух десятков менее популярных браузерных расширений, использующих аналогичный код. Их мы также отключаем. Мы призываем экспертов присоединиться к поиску и других потенциально опасных расширений. Результаты можно присылать через форму. Вместе мы сможем побороть эту угрозу.

Приветствую!

Браузерные расширения friGate Light, а также friGate CDN весьма популярны у пользователей самых разных браузеров: Google Chrome, Яндекс Браузер, Opera и многих других, что основаны на исходном коде Chromium, а также Mozilla Firefox. В их задачу входит обеспечение просмотра тех сайтов, доступ к которым по различным причинам был ограничен провайдером.

Принцип работы данных расширений заключается в перенаправлении интернет-трафика через специальные прокси-серверы, благодаря чему осуществляется просмотр интересующих сайтов, которые в обычном режиме работы не отрыть в связи с блокировкой.

Однако же не всегда расширение работает должным образом. Давайте попробуем разобраться, каковы причины сбоя в работе расширения friGate.

Содержание:

Почему не работает friGate – разбираемся

friGate может перестать работать из-за технических сбоев, что возникают на серверах, которые обслуживают данное расширение, позволяют ему выполнять свои функции.

В данной ситуации следует выждать некоторое время. Также причиной, почему может не работать friGate, может являться его некорректная настройка. Об этом мы поговорим ниже.

Из наиболее типовых причин, можно отметить:

• Некорректно вписанный в настройках расширения сайт, который должен отрываться через friGate
• Выбор неоптимального или некорректного прокси-сервера в настройках
• Опции DNS сервера, которые не позволяют корректно работать расширению friGate

Давайте детально рассмотрим подробнее возможные проблемы, из-за которых friGate перестал работать.

Как вернуть работоспособность расширения friGate

Начнём с малого, т.к. порой самые простые решения оказываются наиболее эффективны:

• Следует отключить расширение friGate. Это делается с помощью нажатия на соответствующую иконку в панели браузера
• Закройте и откройте (перезапустите) используемый браузер вновь
• Попробуйте установить расширение friGate на другой браузер и проверить его работоспособность там

Данные методы хороши, если расширение вовсе перестало работать и невозможно открыть ни один из заблокированных сайтов. Если же вы не можете открыть один конкретный сайт, то здесь проблемы могут быть не сколько в расширении, сколько в самом сайте (как это проверить).

В любом случае стоит попробовать ещё один способ, который сводится к прописыванию DNS серверов в свойствах интернет соединения.

Это может помочь, если на стороне провайдера блокируется доступ к хостам, что используются расширением friGate в работе.

На первом шаге необходимо открыть окно с сетевыми подключениями. Откройте поисковую строку, введите команду «ncpa.cpl» без кавычек и выберите соответствующий пункт.

Также стоит проверить настройки самого расширения friGate на предмет корректности.

1. Откройте настройки расширения, первым по списку в них будет идти настройка, в которой создаётся и указывается список сайтов.
2. Введите имя списка (может быть любое) и нажмите кнопку Добавить список.

Введите туда необходимые интернет адреса. Руководствуйтесь подсказкой, что прописана выше и вводите url с поддоменом.

Введя сайт, не забывайте нажимать кнопку Добавить сайт.

Кстати, стоит сказать, что расширение позволяет использовать собственноручно введённые прокси адреса. Если у вас имеется список из прокси адресов, то вы можете ввести их в блоке собственные прокси, и расширение будет использовать их в работе.

Если проблема с friGate осталась

Если ничего из приведённого не помогло восстановить работоспособность расширения friGate, то вы можете воспользоваться не менее действенными альтернативными решениями. С задачей отлично справляется специально разработанный для этого софт или популярный интернет браузер Opera с бесплатным VPN, который можно использовать без установки в систему, дабы открывать через него непосредственно сайты, доступ к которым в обычном режиме затруднён.

Как видим, проблема с недоступностью интересующего ресурса решается достаточно просто в любом случае.

Мы рады, что смогли помочь Вам в решении поставленной задачи или проблемы.

В свою очередь, Вы тоже можете нам очень помочь.

Просто поделитесь статьей в социальных сетях и мессенджерах с друзьями.

Поделившись результатами труда автора, вы окажете неоценимую помощь как ему самому, так и сайту в целом. Спасибо!

Читайте также:

  
• Яндекс браузер работает а остальные нет
  
• Excel запретить добавление строк
  
• Как поменять тему в ворде
  
• Dexp f49d8200h прошивка usb
  
• Как убрать сопли в фотошопе