Мы, по сути, переработали Agile-SDL процесс. Только часть наших контролей (речь о тех, что привязаны к релизному циклу) применяются не для спринта, а для фичей.

Разработчики и тестировщики у нас также участвуют в процессе, особенно на этапе анализа реализации. Часть проблем с безопасностью они находят самостоятельно еще до того, как сборка попадет на этап финального ревью.

Под аббревиатурой С&C ( от слова command-and-control ) подразумевается сервер, с которого вредоносное расширение получало входные данные. Можно сказать, что в ходе массового заражения формировалась бот-сеть из браузеров, которую злоумышленники могли контролировать, подгружая жертвам различные скрипты.

По информации на странице для разработчиков приложения для Facebook проходят процедуру проверки, однако подозрительное приложение, id которого был найден в коде, уже было недоступно на момент анализа. Поэтому сказать что-либо о его функциональности мы не можем.

В ходе анализа использовался отладчик и консоль браузера, а также веб-прокси Fiddler.

На teladea.blogspot.com вредоносного кода на тот момент обнаружено не было.

Пользователи IE могли посмотреть на данном ресурсе ролик с YouTube, а пользователям Android показывался рекламный баннер, предлагающий установить мобильное приложение «UC browser for android». Клик по данному баннеру вел через цепочку редиректов на страницу приложения в Google Play.

Тут действительно допущена ошибка.
Большое спасибо — поправлю. Вкладки с настройками расширений действительно закрывались.

SBAPI (Safe Browsing API) — специализированный API, который позволяет получить данные о вредоносных веб-ресурсах известных Яндексу. Подробнее можно почитатать тут.

Спасибо!

Кажется, что детали в данном случае важны, ведь коротко о распространении вредоносного расширения уже рассказывали в СМИ.