內含優化技巧 SAMSUNG Galaxy S10+、S10、S10e 使用教學|One UI、全螢幕開啟、彈出視窗多工、Bixby指令、隱藏前鏡頭、快速手勢|科技狗使用教學#14
目录:
- 许多攻击都使用了恶意浏览器扩展程序,其中包括Chrome扩展程序。例如,5月份,维基媒体基金会发布了一个关于Google Chrome扩展的警告,该扩展将恶意广告插入维基百科页面。
- “当前,Google在浏览器扩展安全方面是安全标准,”Balazs说。然而,谷歌向前迈出的一大进步就是禁用旧版NPAPI(Netscape插件应用程序编程接口)插件体系结构 - 现在Chrome已针对Windows 8 Metro和Chromebook禁用了Chrome体系结构,并且推出了更安全,更加沙盒的Native Client体系结构,他说,
从谷歌浏览器版本25开始,其他应用程序脱机安装的浏览器扩展程序将不会启用,直到用户通过浏览器界面中的对话框授予他们的权限。在Google Chrome for Windows中,开发人员有几种选择可以离线安装扩展程序 - 不使用浏览器界面。其中之一涉及到在Windows注册表中添加特殊条目,告诉Chrome浏览器已经安装了一个新的扩展并且应该启用。
“此功能最初旨在允许用户选择将一个有用的扩展程序添加到Chrome中这是另一个应用程序安装的一部分,“谷歌Chrome扩展产品经理Peter Ludwig周五在一篇博客文章中表示。 “不幸的是,此功能已被第三方广泛滥用,无需用户的正确确认即可将Chrome扩展安装到Chrome中。”
[更多阅读:如何从Windows PC删除恶意软件]
另外,所有扩展程序使用脱机方法安装的应用程序将在默认情况下被禁用,并且会询问用户是否希望在浏览器重新启动时启用它们。
一年前,Mozilla在Firefox中实现了一个非常类似的机制,以防止脱机版本脱机在没有用户确认的情况下启用其他程序。
安全问题
许多攻击都使用了恶意浏览器扩展程序,其中包括Chrome扩展程序。例如,5月份,维基媒体基金会发布了一个关于Google Chrome扩展的警告,该扩展将恶意广告插入维基百科页面。
7月份,Google停止允许从第三方网站安装Chrome扩展程序,仅限在线安装扩展到官方Chrome网上应用店中的扩展程序
这使得攻击者难以分发恶意扩展,但并未阻止恶意软件在使用脱机方法的已经入侵的系统上安装流氓Chrome扩展程序。即将发布的Chrome 25改变旨在解决这个问题。
匈牙利IT安全研究员Zoltan Balazs周一通过电子邮件表示,“我认为这是朝着正确方向迈出的一步,这是一个更安全的浏览体验。” Balazs之前为Firefox,Chrome和Safari创建了概念验证恶意扩展,目的是为了演示攻击者手中这些工具的强大程度。今年在几个安全会议上展示的Balazs的研究表明,如何远程控制的流氓浏览器扩展可以修改网页内容,通过计算机的网络摄像头拍摄屏幕截图,充当内部网络的反向HTTP代理,下载,上传和执行文件,用于分布式密码散列破解等等。即使即将发生的Chrome 25中的变化将使攻击者的生活变得更加艰难,但一件恶意软件仍然可能会替代整个Chrome安装,而Balazs说。他指出微软公布的第一个“10个不变的安全法则”,内容如下:“如果一个坏人可以说服你在你的计算机上运行他的程序,那么它不再是你的电脑了。”
7月,当Google禁止第三方网站安装Chrome扩展程序时,该公司还表示,它将开始分析Chrome网上应用店中列出的所有扩展程序的恶意行为,并删除有问题的扩展程序。
当心诈骗
但是,自那时以来,多次在Chrome网上应用店中发现了恶意扩展,这表明Google的扩展扫描和审核机制可以被绕过。 8月30日,Barracuda Networks的研究人员警告说,Facebook的骗子设法欺骗超过90,000名用户在谷歌删除扩展程序之前安装了Chrome网上应用店中托管的多个恶意Chrome扩展程序。
12月20日来自Facecrooks监控Facebook的威胁,并警告说一个骗局,欺骗用户安装流氓Chrome扩展,声称它改变了Facebook配置文件的颜色方案。据Balazs称,恶意扩展开发人员设法绕过Chrome网站Store的恶意软件检测系统并不令人惊讶。Balazs说,混淆JavaScript代码或在其他非恶意功能中隐藏恶意功能,或者在更新中创建非恶意扩展和添加恶意功能非常容易。 “这与我们在恶意软件开发人员和AV行业之间看到的猫鼠游戏是一样的。”