25% протестированных расширений Google Chrome допускают кражу данных

25% протестированных расширений Google Chrome допускают кражу данных

Обнаружено, что 27 из 100 протестированных расширений Google Chrome уязвимы к атакам по извлечению данных (паролей, истории и т.д.) специально разработанными вредоносными сайтами и взломщиками открытых Wi-Fi сетей.



Трое исследователей безопасности вручную проанализировали 50 наиболее популярных расширений Chrome и прибавили к этому списку ещё 50 выбранных наугад, сообщает xakep.ru

"Мы искали уязвимости JavaScript-инъекций в ядре расширений (странице опций, бэкграундк и поп-апах); инъекция скриптов в ядре позволяет получить полный контроль над расширением", - объяснил Адриан Портер Фелт, один из исследователей. Чтобы доказать своё заявление, они разработали PoC–атаки для того, чтобы использовать уязвимости в своих целях.

Плохая новость состоит в том, что более 25% протестированных расширений были признаны уязвимыми, и семь из них используют более 300 000 пользователей.

Но есть и хорошая новость: 49 из 51 уязвимостей можно пропатчить просто используя одно из двух предложенных правил безопасности (Content Security Policies).

Эти правила различными способами предотвращают внедрение вредоносных кодов: запрещая использование eval функций, так что непроверенные данные не могут быть использованы в качестве кода; перемещая легальный JavaScript в файл .js , так что когда внедряются вредоносные скрипты, они отличаются от законных и их можно сразу распознать; и полностью или частично отвергая все внешние скрипты.

"В дополнение к основным ошибкам, расширения могут добавлять уязвимости на сайты", - отмечает Портер Войлок. "CSP не смогут предотвратить это, но разработчики должны помнить, что нельзя использовать innerHTML для модификации веб-сайтов. Вместо этого используйте innerText или DOM-методы, такие как AppendChild. Расширения также не должны добавлять HTTP-скрипты или CSS для сайтов HTTPS".

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники заработали на фальшивых свиданиях почти 10 млн рублей

Мошенники, использующие схему фальшивых свиданий (Fake Date), заработали в праздничные дни — 14 февраля, 23 февраля и 8 марта — около 9,8 млн рублей. Это почти в два раза больше, чем годом ранее, когда доход преступников за аналогичный период составил около 5 млн рублей.

Суть схемы остаётся неизменной: мошенники представляются привлекательными девушками и знакомятся с жертвами в соцсетях, на сайтах знакомств или через телеграм-ботов.

В ходе общения злоумышленники предлагают приобрести билеты на мероприятия (кино, театр, стендап-шоу) по ссылкам, ведущим на фишинговые сайты или предлагающим загрузить вредоносные приложения.

Для убедительности мошенники активно применяют технологии аудио- и видеодипфейков, имитируя голос и внешность реальных людей. В результате обмана потерпевшие лишаются денег, а виртуальная «собеседница» исчезает.

Самым прибыльным праздником для преступников стал День святого Валентина: с 12 по 14 февраля мошенники заработали около 4 млн рублей — почти вдвое больше, чем годом ранее. Чаще всего жертвам предлагали купить билеты в несуществующие кинотеатры, что принесло мошенникам около 640 тыс. рублей, а также на стендап-шоу (59 тыс. рублей).

За период празднования Дня защитника Отечества с 21 по 23 февраля доходы злоумышленников составили 3,3 млн рублей, а на Международный женский день (с 6 по 8 марта) – 2,5 млн рублей.

Мария Синицына, старший аналитик департамента защиты от цифровых рисков компании F6, отметила тенденцию к сокращению числа мошеннических групп, работающих по этой схеме. В праздничные дни 2024 года были активны четыре основные группы, в то время как в прошлом году их было пять, а двумя годами ранее – семь. Несмотря на это, доход мошенников растёт благодаря постоянному привлечению новых участников, которым для мошенничества не требуются особые технические навыки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru