Эксперты: новый тип расширений не решает проблему безопасности Chrome

Эксперты: новый тип расширений не решает проблему безопасности Chrome

Google активно внедряет платформу Manifest V3 для расширений Chrome, позиционируя её как решение для улучшения безопасности браузера. Но, по словам исследователей из IT-компании SquareX, компания не справляется со своей задачей — и оставляет для злоумышленников множество лазеек даже на фоне того, что ограничивает работу блокировщиков рекламы и других полезных аддонов.

Google

По словам экспертов, перехода на MV3, недостаточно для обеспечения безопасности пользователей. Платформа всё ещё позволяет создавать расширения, которые могут красть данные и получать доступ к конфиденциальной информации — например, перехватывать прямые эфиры в Google Meet и Zoom без специальных разрешений. Некоторые аддоны способны добавлять неавторизованных участников в частные репозитории GitHub, читать файлы cookie, закладки и историю браузера.

Кроме того, MV3 позволяет перенаправлять пользователей на фишинговые страницы с помощью поддельного окна менеджера паролей и предлагать пользователю скачать вредоносное ПО через фальшивое окно обновления браузера. Ситуация усложняется тем, что отследить действия расширения невозможно. Например, такие решения для обеспечения безопасности, как защита конечных устройств, Secure Access Service Edge (SASE) и Secure Web Gateways (SWG), не могут в реальном времени оценивать потенциально опасные расширения.

Google

Для решения этих проблем в SquareX предложили несколько способов. К примеру, исследователи предлагают предоставить администраторам возможность решать, какие расширения блокировать, исходя из списка разрешений, описания, отзывов и рейтинга в магазине Google.

«Наше исследование доказывает, что без динамического анализа и возможности для предприятий применять строгие политики будет невозможно выявлять и блокировать эти атаки. Google MV3, несмотря на благие намерения, всё ещё далёк от обеспечения безопасности как на этапе разработки, так и на этапе внедрения», — отметили в SquareX.

Также можно создать инструмент, который будет блокировать сетевые запросы расширений на основе машинного обучения и эвристического анализа. Вдобавок в SquareX экспериментируют с облачным анализом расширений с помощью модифицированного браузера Chromium на удалённом сервере, что позволит выявить потенциально вредоносные решения ещё до их установки.

Источник: techradar.com


  • strubus
    Все честно, повысилась безопасность, безопасность дохода гугол
    • nick_ps
      strubus, согласен. Больше похоже на борьбу с блокировщиками рекламы.
      • nick_ps,
        Что значит "похоже"? Это и есть скрытая борьба с блокировщиками рекламы. Уже нельзя просто так, как раньше, поставить знаменитые uMatrix (который запросто позволял напрочь резать всю рекламу на сайте мылару) и uBlock Origin, которые просто "must have" на все времена, но теперь остались только в огнелисе.
        • nick_ps,
          Это не "похоже", это она и есть. Остальное - замылить взгляд. Одно же дело сказать "мы меняем формат для борьбы с блокировщиками рекламы", и совсем другое - "мы меняем формат для повышения безопасности пользователей". Мы схожую историю в 2020 на пеньках наблюдали.
      • Cybenematic
        Уже перешёл на Firefox. Гугол сасай.
        • m3ridian666
          Cybenematic,
          Судя по статье- он и так уже SASE )
          • LeiFeng
            Cybenematic,
            Почти двадцать лет уже с лисой. Раньше ещё оперой пользовался, пока она тоже в хром не превратилась
            • litium89
              Cybenematic,
              Перешёл с нормального браузера на фаерфокс который застрял в 2005 году и даже не может в аппаратное декодирование hevc в браузере в отличии от хром, понимаю. Куда деньги на лечение скидывать

              (отредактирован)

              • sokolsem
                litium89,
                С хрома ушёл в 2014, с 2015 полностью на файрфокс - браузер постоянно развивается, интерфейс удобный, синхронизация на устройствах работает чётко.
                • litium89,
                  >Перешёл с нормального браузера на фаерфокс который застрял в 2005 году и даже не может в аппаратное декодирование hevc в браузере в >отличии от хром, понимаю. Куда деньги на лечение скидывать
                  Выбирая между наличием рекламы и её отсутствием, я выберу ноль рекламы.

                  пс: файрфокс всё ещё держится на плаву из-за встроенных майнингов (надеюсь, что майнинг, а не кривой код с пожиранием памяти и ресурсов процессора).

                  (отредактирован)

                  • newtonmike50
                    Hoow,
                    Что за бред? Какой ещё майнинг в лисе?
                  • litium89,
                    Между прочим, 2005 хорошим годом был. Не чета нынешним.

                    А что касается hevc - мне без разницы, где он будет декодироваться. Процессор-то всё равно занят: у меня декодированием hevc, у вас - рендерингом рекламы.
                    • litium89
                      pv47,
                      Конечно тебе без разницы, он в firefox из коробки вообще не поддерживается ты просто видос не включишь,лол
                      • litium89,
                        Блин, печально :(

                        Но успокаивает то, что на практике он нигде не используется (иначе я бы заметил).
                • glavniy909
                  Так эти уязвимости нужны самой гугл, для сбора информации и рекламы.
                  • LEQI_TT
                    FifeFox one Love!
                    • chalexis
                      правильно ли я понимаю, что все прочие браузеры, основанные на Хроме, такие как Edge, Vivaldi, Яндекс, Brave, так-же страдают аналогичными проблемами в безопасности? Т.е. фактически весь "куст" браузеров изначально болен и подлежит выкорчевыванию?
                      • chalexis,
                        Нет, если мы говорим именно про Manifest V3 ... все браузеры на движке Blink, могут использовать свой магазин приложений.
                        • chalexis
                          rasik,
                          Как это влияет на безопасность?
                          • chalexis,
                            Про какие именно проблемы безопасности вы говорите?! =) Вообще у любого софта априори есть проблемы с безопасностью, у кого-то больше, у кого-то меньше ... которые становятся очень популярными, быстро фиксят, ну и как правило открывают новые ... пока они не станут популярными =)))
                        • Eqreal
                          chalexis,
                          Это просто официальная причина, по которой выпили блокировщики рекламы
                          • chalexis,
                            Если юзать браузеры, в которых встроенный функционал заменяет расширения, то это будет более безопасно, ну примеру, многие если не большинство людей, используют несколько самых необходимых расширений, это уже стандарт, база, блокировщики, vpn, переводчики, темные темы, скриншотеры, и загрузчики видео, ну мб ещё пару других, по идеи все это, кроме vpn и загрузчикков видео, встроенное в сами браузеры к примеру, в Opera, есть встроенный vpn, встроенная темная тема для сайтов, встроенный переводчик, встроенный скриншотер, и встроенный блокировщик рекламы, поэтому такой встроенный функционал заменяет базовые необходимые расширения, конечно, то, что встроенное оно не такое мб функциональное, качественные и удобное, но за то оно встроенное и более безопасное, хотя в опере самой есть слежка, но можно в аккаунт не входить, чтобы меньше сливались инфа.
                            Тоже самое в других браузерах, Vivaldi, есть встроенный блокировщик, переводчик, скриншотер, темная тема в флагах.
                            в Brave, Edge, встроенный vpn, переводчики, и тд.

                            Поэтому смысл таков, что если хочется, чтобы было более безопасным использование интернета, тогда надо чтобы браузеры имели встроенные функции расширений, но видите ли половину пользователям людям такое не нравится, они хотят, чтобы браузер был пустой, урезан и максимально минималистичный без встроенного функционала и многих функций, но тогда пусть жертвуют своею безопасностью расширениями.
                            А так, сильно не стоит парится, если будете максимально все делать, чтобы от слежки защититься, то будете жертвовать, удобством, эко-системою, синхронизацей, быстротою, будет мучение, если будете максимально убирать слежку, будете ли счастливы, и в комфорте, нет, поэтому в крайности впадать не стоит, например есть расширения, с открытым кодом, или которых не разу не ломали, к примеру некогда самое популярное расширение по паролям lastpass много раз ломали, а тот же bitwarden не разу.
                          • Переходите на Firefox
                            • chalexis
                              Kjnk,
                              Firefox всегда установлен на всех моих устройствах. Но по удобству использования на мобильном Vivaldi выше всяких похвал. Естественно и на компе в целях синхронизации тоже установлен браузер Vivaldi.
                            • Подождите, уважаемые эксперты, скоро Google придумает Manifest Version 4, где перекроют всё что осталось... вот тогда будет безопасно!
                              • Neuralink-X
                                Хромой тот еще хромой.
                                • Apache_pl
                                  Vivaldi прислал уведомление, что ublock скоро перестанет работать
                                  • chalexis
                                    Apache_pl,
                                    У Vivaldi собственный блокировщик есть. Не все скрипты, работающие в Ublock к сожалению можно подключить, но в принципе не плохо работает. Мне на мобильно лишь косметических фильтров не хватает, скрывать место от удаленной рекламы в некоторых случаях
                                    • dabdok
                                      Apache_pl,
                                      Прислал уведомление или сообщил при входе в магазин расширений?
                                      • Apache_pl
                                        dabdok,
                                        Прям в самом браузере
                                        • dabdok
                                          Apache_pl,
                                          Хотя по слухам обещали манифест 2 продолжать поддерживать.
                                    • LiveForeverA
                                      Решение - Firefox
                                      • Onoff89
                                        Свалил на фаерфокс, пароли/избранное/закладки/аккаунты подтянулись в один клик. Очень удобно.
                                        • Onoff89,
                                          Прикинь это везде так ещё с 2000... Когда у тебя больше 1к закладок без этого не как.... Вообще с maxtor китайского начиналось все...

                                          (отредактирован)

                                        • Да любую безопасность делай... Главный её враг за монитором так то... Тут либо полный запрет сторонних расширение либо вся ответственность на пользователе...

                                          Хотя читеры — это бич практически каждой мультиплеерной игры, в некоторых тайтлах они ведут себя необычным образом. В Call of Duty они, например, преимущественно «аимботят» и набивают фраги с помощью сторонних программ. А вот любители Escape from Tarkov пошли дальше: они нашли способ атаковать компьютеры честных игроков.

                                           

                                          Компания объявила победителей конкурса лучших игр и приложений в Google Play за 2024 год. В список вошли различные тайтлы в 16 номинациях и четырёх «абсолютных» категориях, наиболее популярные на мобильном рынке США.

                                           
                                          <div></div><a href='/2025/01/19/4630640/' target='_blank'><img src='https://i.4pda.ws/s/as6ywue3S4wsjFGg0z2I2iyY7kHEE0EmiXkPLY783uK3Miqm98HafRECC.jpg' title='' /></a><div ><img src='https://4pda.to/s/as6yu42hlyXjD7kQLqbvVMOGid.gif' /></div><div></div><div></div><div></div>

                                          Издание ТАСС опубликовало отчёт аналитической компании MediaScope, посвящённый аудитории мессенджеров в России. Как оказалось, при всей своей популярности Telegram пока нельзя назвать «народным» сервисом по общему количеству активных пользователей.

                                           

                                          Компания Microsoft представила новую версию знаменитого пакета Office. Как и его предшественники, набор приложений не требует оформления подписки и может полноценно работать без подключения компьютера к сети, но ценой такой «свободы» стало отсутствие современных ИИ-функций.

                                           

                                          Вслед за топом поисковых запросов Google опубликовала ещё один фирменный рейтинг, в который вошли наиболее популярные расширения для браузера Chrome в этом году. Компания разделила их на четыре основные категории и назвала победителя в каждой из них.

                                           

                                          Совсем недавно NVIDIA выпустила новое приложение, которое пришло на смену GeForce Experience. Однако запуск оказался поспешным, поскольку из-за текущих недоработок утилита сильно снижает производительность в играх.

                                           

                                          Исследователь в области IT-безопасности Томас Рот, известный в сети под ником Stacksmashing, заявил о взломе механизма безопасности iPhone 15 через порт USB Type-C. Об этом он рассказал на недавно прошедшей конференции Chaos Communication Congress — и объяснил, какие последствия может вызвать находка такой «дыры» в защите гаджета Apple.

                                           

                                          Владелец Tesla Cybertruck из Сиэтла, штат Вашингтон, Ник столкнулся с неприятной неожиданностью после того, как он прикрепил к своему электропикапу магнит. Спустя некоторое время на корпусе электрокара появились первые признаки коррозии.

                                           

                                          На портале правовой информации был опубликован проект приказа, в соответствии с которым регулятор сможет получать от операторов данные для идентификации пользовательских устройств в интернете. Это необходимо для предотвращения доступа к информации, запрещённой на территории РФ. Отвечая на запросы СМИ, представители Роскомнадзора официально прокомментировали документ.

                                           

                                          Группа хакеров Massgrave объявила о самом большом достижении в истории пиратства Windows и Office. Они уверяют, что созданный эксплойт позволяет обойти систему защиты Microsoft и активировать практически любые современные версии операционной системы и офисного пакета.

                                           

                                          Технологии продолжают упрощать нашу жизнь, и новый ультразвуковой беспроводной резак Hanboost C1 — яркое тому подтверждение. Уникальный инструмент представлен в форме компактной ручки и может упростить работу дизайнерам, скульпторам, мастерам 3D-печати, любителям моделирования и много кому ещё.

                                           

                                          HMD Global представила два новых кнопочных телефона под брендом Nokia. Второе поколение Nokia 105 4G и 110 4G обзавелось немного обновлённым дизайном и портом USB Type-C, который пришёл на смену microUSB.

                                           

                                          Небольшие инди-игры редко стреляют так мощно, чтобы обеспечить своему создателю безбедную жизнь. Однако для некоторых авторов такие творения оказываются единственной возможностью заработать необходимые деньги.

                                           

                                          Джейсон Шрейер заслужил себе статус одного из важнейших игровых журналистов игровой индустрии, чьему мнению и прогнозам можно доверять, и на Bloomberg вышел большой материал с его прогнозами на 2025 год в видеоиграх.

                                           

                                          Со вчерашнего вечера у российских пользователей начали возникать проблемы с доступом к ряду интернет-ресурсов. По данным профильных СМИ, причиной тому предположительно стала блокировка подключения к серверам компании CloudFlare по протоколу TLS 1.3 с расширением ECH.

                                           
                                          Характеристики всех моделей линейки Samsung Galaxy S25 раскрыты до презентации Популярное

                                          Портал Android Headlines опубликовал массу подробностей о предстоящей флагманской линейке смартфонов Samsung Galaxy S25. Журналисты показали все три модели во всех возможных расцветках, а также поделились ключевыми характеристиками.

                                           
                                          Почему в смартфонах больше нет выдвижных селфи-камер?
                                          270
                                          8.11.24quoren

                                          Не так давно компании продвигали интересный тренд: фронталки, спрятанные внутри корпуса. Выдвигались они только по необходимости, а на экране не было никаких вырезов. Решение казалось весьма удачным: безрамочные дисплеи без отвлекающих элементов смотрелись футуристично. Но вскоре инновация исчезла из популярных флагманов. В чём же причины?

                                           

                                          Аналитики Statcounter опубликовали новый отчёт с результатами популярности ОС Windows на мировом рынке. Несмотря на старания Microsoft, доля пользователей Windows 11 падает, на что указывают данные за ноябрь 2024 года.

                                           
                                          Среднестатистический PC. Valve поделилась самым популярным железом Steam за декабрь Популярное

                                          Индустрия мало-помалу подвела все игровые итоги 2024 года. Но что же творится в мире железа? Valve наконец-то предоставила ответ на этот животрепещущий вопрос.

                                           
                                          iPhone SE (2025) будет похож на смартфон Apple 15-летней давности [ФОТО] Популярное

                                          Инсайдер Сони Диксон (@SonnyDickson) опубликовал в соцсети X фотографии макетов iPhone SE четвёртого поколения. Модель 2025 года будет кардинально отличаться от предшественника и в то же время напоминать один из первых «яблочных» смартфонов.

                                           

                                          В блоге бенчмарка AnTuTu появился топ-10 самых мощных смартфонов сентября по среднему баллу среди всех протестированных экземпляров конкретной модели гаджета. Судя по нему, весь рейтинг заняли китайские смартфоны, за исключением одной позиции.

                                           
                                          Samsung Galaxy S25 получил официальную дату презентации Популярное

                                          Samsung впервые официально упомянула новую серию смартфонов Galaxy S в рекламных материалах и раскрыла дату премьеры будущих новинок. Заодно компания намекнула, что в этот раз покажет не три, а сразу четыре фирменных устройства.

                                           

                                          Объём памяти — это одна из ключевых характеристик для современной игровой видеокарты. Авторы портала PC Games Hardware взялись проверить важность этого показателя и оценить его влияние на качество гейминга. Как показал их эксперимент, модели с 8 ГБ VRAM для сборки нового геймерского ПК в 2025 году лучше не рассматривать.

                                           

                                          В ночь с 8 на 9 октября 2024 года медиахолдинг HBO выпустил художественный фильм Money Electric: The Bitcoin Mystery. В нём авторы назвали имя реального создателя биткоина, который до сих пор был известен как Сатоши Накамото.

                                           

                                          Едва ли кто-то ждал, что S.T.A.L.K.E.R. 2: Heart of Chornobyl будет технически стабильным боевиком. Многие журналисты, например, помимо багов жалуются на оптимизацию — и если на консолях с этим ничего не поделать, то на PC проблему всё же можно решить.

                                           

                                          Разработчики мобильного бенчмарка AnTuTu обновили рейтинг лучших смартфонов по соотношению цена/производительность. По итогам октября список заметно изменился, поскольку вышло много новых моделей, особенно флагманов.

                                           

                                          Российский видеохостинг предложил создателям контента инструмент для переноса видеороликов, размещённых на площадке YouTube. Разработчики рассказали, как можно «переехать» с американского сервиса, в работе которого в последнее время наблюдаются определённые сложности.

                                           
                                          Xiaomi выпустила компактную рацию с радиусом действия 5000 км Популярное

                                          Xiaomi объявила об открытии предзаказов на фирменную рацию Sports Walkie-Talkie. Новинка в компактном корпусе ориентирована на любителей активного отдыха и предлагает набор полезных функций в сочетании с надёжной работой для стабильной связи в большинстве условий.

                                           

                                          Утечки исходного кода различных игр — до сих пор редкое явление. Когда такое случается, хакеры либо продают файлы за баснословные деньги, либо отправляют их в свободный доступ. Но с утечкой данных Crysis 3 хакеры поступили более изощрённо.

                                           

                                          Состоялся релиз стабильной версии Linux Mint 22.1 на базе Ubuntu 24.04 LTS и ядра Linux 6.8. Эта сборка с долгосрочной поддержкой, которая будет получать исправления безопасности до 2029 года. Обновление содержит разные улучшения и множество новых функций.

                                           

                                          В Китае завершился суд по делу крупного блогера-миллионника по иску от ZTE, поданному ещё в марте 2023 года. Яблоком раздора стал негативный видеообзор фирменного смартфона: компания потребовала от блогера не только публичных извинений, но и финансовой компенсации.

                                           

                                          Часть пользователей Windows 11 столкнулась с необычной проблемой: их компьютеры неожиданно начали «выкручивать» громкость звука на 100%. В Microsoft уже признали наличие неполадки и рассказали, из-за чего она возникает.

                                           

                                          Автор YouTube-канала Budget-Builds Official купил в Китае официально не существующую видеокарту GeForce RTX 4010. Он рассказал о её предназначении, раскрыл характеристики и даже протестировал игровую производительность ультрабюджетной новинки. Последняя, с поправкой на свою ценовую категорию, оказалась весьма впечатляющей.

                                           

                                          «Яндекс» обновил опцию «Алиса Про», предоставив пользователям доступ к своей самой новой и мощной языковой модели — YandexGPT 4 Pro. В компании рассказали, в чём её преимущество и кому она будет полезна.