GOOGLE НАРАЩИВАЕТ ЗАЩИТУ

needfortrane

Модератор
Команда форума
Регистрация
21.04.18
Автор темы #1
Сразу несколько нововведений, призванных улучшить защиту различных продуктов Google, были анонсированы в этом месяце.

Нет вредоносным расширениям
Google постепенно откажется от практики, позволяющей устанавливать расширения для браузера Chrome через сторонние сайты.

Так называемая inline-установка (она же встраиваемая установка) позволяет разработчикам расширений не только распространять свои продукты через официальный каталог Chrome Web Store, но и предлагать пользователям расширения на сторонних сайтах. В таком случае достаточно нажать на специальную кнопку, и расширение будет установлено без визита в Chrome Web Store.

proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp-content%2Fuploads%2F2018%2F06%2F175491%2FFacexWorm-spam.png&hash=8fc3300b763e615d15c8519ac352c520

Отказаться от этой функциональности решили из-за того, что ее давно взяли на вооружение злоумышленники. Авторы различных вредоносных расширений пользуются inline-установкой, так как в этом случае посетитель сайта не видит негативных отзывов, предупреждений от других пострадавших и низкого рейтинга вредоносного расширения в Chrome Web Store.

«Мы продолжаем получать огромное количество жалоб от пользователей, которые столкнулись с неожиданным изменением в поведении Chrome после установки нежелательного расширения. Большинство таких жалоб связаны с тем, что люди случайно или будучи намеренно введены в заблуждение использовали inline-установку на сайтах», — пишут разработчики Google.

Отказ от inline-установки будет разделен на три этапа. Первый этап уже начался: с 12 июня 2018 года встраиваемая установка для новых расширений запрещена. Для них попытка использовать chrome.webstore.install() теперь окончится открытием страницы расширения в официальном каталоге. Второй этап стартует 12 сентября 2018 года. Осенью inline-установку запретят всем существующим расширениям вообще. И наконец, третий этап: в декабре 2018 года, с релизом Chrome 71, метод inline-установки исчезнет из API окончательно.

Пароли для прошивок
Новый защитный механизм получат смартфоны Pixel 2. Нововведение обеспечит дополнительную защиту против неавторизованных попыток обновить или подменить прошивку гаджета. По сути, это защита от инсайдерских атак и случаев, когда у злоумышленника есть доступ к самому устройству.

В настоящее время устройства Pixel и так можно назвать одними из наиболее защищенных решений на рынке. В частности, смартфоны Google имеют аппаратные компоненты для хранения и работы с ключами шифрования, которые применяются для шифрования локальных пользовательских данных. Кроме того, это защищенное железо использует собственный набор защищенных прошивок, занимается валидацией пароля пользователя, а также защищает устройство от брутфорс-атак.

Помимо перечисленного, прошивка Pixel защищена и механизмом подписи кода, чтобы атакующий не имел возможности попросту подменить прошивку, сумев таким образом обойти защиту и расшифровать все данные.

Однако этих мер инженерам Google показалось недостаточно. Теперь смартфоны компании будут запрашивать у пользователя пароль при каждой попытке заменить или модифицировать прошивку устройства. Таким образом, потенциальный атакующий должен будет одновременно и скомпрометировать механизм подписи кода, и узнать специальный пароль пользователя, что представляется крайне маловероятным.

Разработчики Google рекомендуют другим производителям мобильных устройств перенять их опыт и внедрить похожие защитные решения в свои продукты.

Проверка приложений в офлайне
Вскоре должен измениться и механизм проверки приложений для Android на аутентичность. В Google планируют модифицировать хедеры файлов APK таким образом, чтобы среди метаданных появилось новое поле,содержащее криптографическую подпись. Из-за этого незначительно увеличится максимально допустимый размер APK. Никаких действий и обновления приложений со стороны разработчиков не потребуется, новое поле будет заполняться Play Store автоматически.

В настоящее время установить «одобренные» Google приложения, прошедшие все надлежащие проверки, можно лишь через официальный Play Store, который в фоновом режиме перед установкой убедится в подлинности и безопасности продукта. С добавлением нового поля в хедеры APK подпись будет содержаться в самом файле, что позволит пользователям загружать приложения из Play Store, а затем распространять их по другим каналам, но не изменять в процессе.

В блоге компании Джеймс Бендер (James Bender), продакт-менеджер Google Play Store, объясняет, что данное решение продиктовано желанием улучшить комфорт и безопасность пользователей, при этом дав разработчикам возможность донести свои решения до более широкой аудитории. Так, нововведение должно прийтись по душе пользователям из развивающихся стран, где распространение приложений посредством P2P уже давно стало нормой (в силу высокой стоимости трафика или ряда других ограничений).

«В будущем мы сможем определять аутентичность приложений даже в том случае, если устройство находится в офлайне», — пишет Бендер.

Стоит отметить, что специалисты в области информационной безопасности уже выразили сомнения в рациональности данного шага. Дело в том, что это нововведение в теории может продлить «срок жизни» вредоносных приложений. Так, малвари будет достаточно попасть в Play Store хотя бы на короткое время, после чего она будет фигурировать в базах как легитимное и проверенное решение. И даже после удаления вредоноса из официального каталога пользователи, которые нечасто выходят в офлайн, могут установить себе такую малварь, взятую из каких-либо сторонних источников, но при этом система будет уверена, что приложение аутентичное и не представляет угрозы.

Обороты преступников, занимающихся криптовалютами, превысили 1 млрд долларов
Специалисты компании Carbon Black провели анализ нелегальной активности, связанной с криптовалютами. Наиболее популярными видами нелегальной деятельности за последние полгода оказались скрытый майнинг и его браузерная разновидность, криптоджекинг, а также кража монет из кошельков пользователей.

  • Разные криптовалютные вредоносы (более 34 000 предложений) продаются примерно на 12 000 торговых площадках даркнета по цене от 1,04 до 1000 долларов США.

  • По данным Carbon Black, общий объем нелегальных криптовалютных операций за последние шесть месяцев превысил 1 млрд долларов, тогда как общий объем теневого рынка в даркнете оценивается в 6,7 млрд долларов.
 
Сверху