• В устройствах Apple с чипами A12 и A13 найдена неустранимая уязвимость, подходящая для джейлбрейка

    Исследователи безопасности из Paradigm Shift опубликовали технические детали новой, неустранимой, по их утверждению, уязвимости BootROM, получившей название usbliter8. Данный эксплойт базируется на недостатках оборудования и позволяет выполнять произвольный код на устройствах компании Apple, оснащённых процессорами поколений A12 и A13.
    Читать дальше

  • Telegram через суд обжаловал блокировку в Индии

    Администрация мессенджера Telegram подала в суд в Нью-Дели иск, в котором оспорила распоряжение властей страны о временной блокировке платформы в целях предотвращения мошенничества на экзаменах.
    Читать дальше

  • Commodore анонсировала кнопочный смартфон-раскладушку за $499 (3 фото)

    Когда новым руководителем остатков легендарной Commodore стал энтузиаст ретротехники Кристиан Симпсон (Christian Simpson), было принято решение, что компания начнёт двигаться вперёд с того места, на котором остановилась оригинальная Commodore. В результате на рынке появились портативные консоли, вдохновлённые легендарной Commodore 64. Теп...
    Читать дальше

  • AST SpaceMobile начала запускать гигантские интернет-спутники пачками — в космос отправлены BlueBird 8, 9 и 10

    AST SpaceMobile отправила на орбиту три новых интернет-спутника — BlueBird 8, 9 и 10. Это была первая для компании пакетная отправка аппаратов, что стало решительным шагом к более быстрому созданию её собственной спутниковой сети с прямым подключением обычных смартфонов. Раньше каждый из гигантских спутников BlueBird отправлялся на орбиту...
    Читать дальше

  • ИИ уже превосходит обычных медиков в точности определения диагноза

    Опубликованные в журнале Nature вчера данные, на которые ссылается Financial Times, говорят о достижении искусственным интеллектом того же или более высокого уровня по сравнению с терапевтами в сфере постановки диагноза и составления плана лечения. Эксперты при этом подчёркивают, что в реальных условиях ИИ пока ещё не способен безопасным ...
    Читать дальше

Новый тип расширений не решает проблему безопасности Chrome

11 ноября 2024 | Просмотров: 8 013 | Новости IT

Google активно внедряет платформу Manifest V3 для расширений Chrome, позиционируя её как решение для улучшения безопасности браузера. Но, по словам исследователей из IT-компании SquareX, компания не справляется со своей задачей — и оставляет для злоумышленников множество лазеек даже на фоне того, что ограничивает работу блокировщиков рекламы и других полезных аддонов.

По словам экспертов, перехода на MV3, недостаточно для обеспечения безопасности пользователей. Платформа всё ещё позволяет создавать расширения, которые могут красть данные и получать доступ к конфиденциальной информации — например, перехватывать прямые эфиры в Google Meet и Zoom без специальных разрешений. Некоторые аддоны способны добавлять неавторизованных участников в частные репозитории GitHub, читать файлы cookie, закладки и историю браузера.

Кроме того, MV3 позволяет перенаправлять пользователей на фишинговые страницы с помощью поддельного окна менеджера паролей и предлагать пользователю скачать вредоносное ПО через фальшивое окно обновления браузера. Ситуация усложняется тем, что отследить действия расширения невозможно. Например, такие решения для обеспечения безопасности, как защита конечных устройств, Secure Access Service Edge (SASE) и Secure Web Gateways (SWG), не могут в реальном времени оценивать потенциально опасные расширения.

Для решения этих проблем в SquareX предложили несколько способов. К примеру, исследователи предлагают предоставить администраторам возможность решать, какие расширения блокировать, исходя из списка разрешений, описания, отзывов и рейтинга в магазине Google.

«Наше исследование доказывает, что без динамического анализа и возможности для предприятий применять строгие политики будет невозможно выявлять и блокировать эти атаки. Google MV3, несмотря на благие намерения, всё ещё далёк от обеспечения безопасности как на этапе разработки, так и на этапе внедрения», — отметили в SquareX.

Также можно создать инструмент, который будет блокировать сетевые запросы расширений на основе машинного обучения и эвристического анализа. Вдобавок в SquareX экспериментируют с облачным анализом расширений с помощью модифицированного браузера Chromium на удалённом сервере, что позволит выявить потенциально вредоносные решения ещё до их установки.
Chrome браузер расширение безопасность взлом хакер дыра

Комментарии: 0

Похожие новости

Google внесла в чёрный список популярный блокировщик рекламы
Chrome защитит от опасных расширений в браузере
Google ужесточает правила для разработчиков Chrome-расширений
В Вашем браузере отключен JavaScript. Для корректной работы сайта настоятельно рекомендуется его включить.