• Hisense представил новую линейку телевизоров с технологией RGB MiniLED

    Компания Hisense провела презентацию новой линейки телевизоров. Мероприятие объединило технологический запуск и выставку современного искусства: вместо традиционной экспозиции техники гости прошли по RGB MiniLED Gallery, где особенности изображения, движения и звука были представлены через отдельные арт-объекты.
    Читать дальше
  • Британский стартап показал трёхколёсный электротрайк с «летающей» посадкой (6 фото)

    Компания Sweren представила необычный электрический трайк Swerv, который предлагает водителю ехать лёжа лицом вперёд. По словам создателей, такая посадка создаёт ощущение полёта и делает поездку намного ярче.
    Читать дальше
  • Крупнейший игровой архив мира закрывают из-за прекращения господдержки

    Пока индустрия всё активнее переходит в цифру, проекты по сохранению её истории переживают не лучшие времена. В Германии закрывают один из крупнейших архивов видеоигр, который собирали более десяти лет.
    Читать дальше
  • В iPhone Air 2 исправят ключевые недостатки предшественника

    По данным авторитетного инсайдера Digital Chat Station, Apple работает над вторым поколением ультратонкого iPhone Air. Главная цель — исправить недостатки первой модели, сохранив тонкий корпус.
    Читать дальше
  • Создан солнечный элемент с рекордным КПД (2 фото)

    Немецкие исследователи приблизились к созданию более эффективных солнечных батарей. Им удалось установить новый мировой рекорд для тандемного солнечного элемента, который сочетает сразу два материала.
    Читать дальше

Новый тип расширений не решает проблему безопасности Chrome

11 ноября 2024 | Просмотров: 8 048 | Новости IT

Google активно внедряет платформу Manifest V3 для расширений Chrome, позиционируя её как решение для улучшения безопасности браузера. Но, по словам исследователей из IT-компании SquareX, компания не справляется со своей задачей — и оставляет для злоумышленников множество лазеек даже на фоне того, что ограничивает работу блокировщиков рекламы и других полезных аддонов.

По словам экспертов, перехода на MV3, недостаточно для обеспечения безопасности пользователей. Платформа всё ещё позволяет создавать расширения, которые могут красть данные и получать доступ к конфиденциальной информации — например, перехватывать прямые эфиры в Google Meet и Zoom без специальных разрешений. Некоторые аддоны способны добавлять неавторизованных участников в частные репозитории GitHub, читать файлы cookie, закладки и историю браузера.

Кроме того, MV3 позволяет перенаправлять пользователей на фишинговые страницы с помощью поддельного окна менеджера паролей и предлагать пользователю скачать вредоносное ПО через фальшивое окно обновления браузера. Ситуация усложняется тем, что отследить действия расширения невозможно. Например, такие решения для обеспечения безопасности, как защита конечных устройств, Secure Access Service Edge (SASE) и Secure Web Gateways (SWG), не могут в реальном времени оценивать потенциально опасные расширения.

Для решения этих проблем в SquareX предложили несколько способов. К примеру, исследователи предлагают предоставить администраторам возможность решать, какие расширения блокировать, исходя из списка разрешений, описания, отзывов и рейтинга в магазине Google.

«Наше исследование доказывает, что без динамического анализа и возможности для предприятий применять строгие политики будет невозможно выявлять и блокировать эти атаки. Google MV3, несмотря на благие намерения, всё ещё далёк от обеспечения безопасности как на этапе разработки, так и на этапе внедрения», — отметили в SquareX.

Также можно создать инструмент, который будет блокировать сетевые запросы расширений на основе машинного обучения и эвристического анализа. Вдобавок в SquareX экспериментируют с облачным анализом расширений с помощью модифицированного браузера Chromium на удалённом сервере, что позволит выявить потенциально вредоносные решения ещё до их установки.

Комментарии: 0

В Вашем браузере отключен JavaScript. Для корректной работы сайта настоятельно рекомендуется его включить.