Car-tech

Ang pag-update ng Chrome ay nagpapalakas sa kontrol ng user sa mga extension

Keeping Chrome updated

Keeping Chrome updated

Talaan ng mga Nilalaman:

Anonim

Simula sa bersyon 25 ng Google Chrome, ang mga extension ng browser na naka-install nang offline sa pamamagitan ng iba pang mga application ay hindi pagaganahin hanggang sa maibigay ng mga user ang kanilang pahintulot sa pamamagitan ng isang dialog box sa interface ng browser. ang mga developer sa sandali ay may ilang mga pagpipilian upang i-install ang mga extension offline-hindi gumagamit ng interface ng browser-sa Google Chrome para sa Windows. Ang isa sa mga ito ay nagsasangkot ng pagdaragdag ng mga espesyal na entry sa Windows registry na nagsasabi sa Chrome na ang isang bagong extension ay na-install at dapat na pinagana.

"Ang orihinal na tampok na ito ay nilayon upang payagan ang mga user na mag-opt-in sa pagdaragdag ng kapaki-pakinabang na extension sa Chrome isang bahagi ng pag-install ng isa pang application, "Peter Ludwig, produkto ng produkto ng Google ng Mga Extension ng Chrome, sinabi Biyernes sa isang blog post. "Sa kasamaang palad, ang tampok na ito ay malawak na inabuso ng mga third party na tahimik na i-install ang mga extension sa Chrome nang walang tamang pagkilala mula sa mga gumagamit."

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Upang maiwasan ang ganitong uri ng pang-aabuso, simula sa Chrome 25, ang awtomatikong paganahin ng browser ang lahat ng naunang naka-install na "panlabas" na mga extension at magpapakita ng mga user ng isang isang beses na dialog box upang piliin kung alin ang gusto nilang muling paganahin.

Bilang karagdagan, ang lahat ng mga extension na naka-install gamit ang offline na mga pamamaraan ay hindi pinagana sa pamamagitan ng default at tatanungin ang user kung nais nilang paganahin ang mga ito kapag ang browser ay restart.

Mozilla nagpapatupad ng isang katulad na mekanismo sa isang taon na ang nakaraan sa Firefox upang maiwasan ang mga extension na naka-install offline sa pamamagitan ng iba pang mga programa mula sa pag-enable nang walang kumpirmasyon ng user.

Mga alalahanin sa seguridad

Maraming mga pag-atake ang gumamit ng nakahahamak na mga extension ng browser, kabilang ang mga extension ng Chrome. Halimbawa, noong Mayo, nagbigay ng alerto ang Wikimedia Foundation tungkol sa isang extension ng Google Chrome na nagpasok ng mga pusong mga ad sa mga pahina ng Wikipedia.

Noong Hulyo, ang Google ay tumigil na pinahintulutan ang mga extension ng Chrome na i-install mula sa mga website ng third-party, sa mga extension na natagpuan sa opisyal na Chrome Web Store.

Ito ay naging mas mahirap para sa mga attackers upang ipamahagi ang mga malisyosong extension, ngunit hindi pinigilan ang malware sa pag-install ng mga pusong mga extension ng Chrome sa isang naka-kompromiso na system gamit ang offline na mga pamamaraan. Ang paparating na Chrome 25 na mga pagbabago ay naglalayong tugunan ang mga iyon.

"Sa palagay ko ito ay isang mahusay na hakbang sa tamang direksyon, na kung saan ay isang mas ligtas na karanasan sa pagba-browse," Zoltan Balazs, isang IT security researcher mula sa Hungary, sinabi Lunes sa pamamagitan ng email. Ang Balazs ay dati nang lumikha ng mga malisyosong extension ng patunay sa konsepto para sa Firefox, Chrome at Safari upang ipakita kung gaano kalakas ang mga tool na ito sa mga kamay ng mga attackers. kung paano kontrolin ng remote control ang mga nakakahamak na extension ng browser ang nilalaman ng mga pahina ng Web, tumagal ng screen shot sa webcam ng computer, kumilos bilang isang reverse HTTP proxy sa panloob na network, i-download, mag-upload at mag-execute ng mga file, gagamitin para sa naibahaging password crack na hash at higit pa.

Kahit na ang mga paparating na pagbabago sa Chrome 25 ay gagawing mas mahirap ang buhay para sa mga attacker, ang isang piraso ng malware ay maaari pa ring potensyal na palitan ang buong pag-install ng Chrome na may backdoored na isa, sinabi ni Balazs. Itinuro niya ang una sa "10 Immutable Laws of Security" na inilathala ng Microsoft, na nagsasabi: "Kung ang isang masamang tao ay makapaghihikayat sa iyo na patakbuhin ang kanyang programa sa iyong computer, hindi na ang iyong computer."

Noong Hulyo, nang ipinagbawal ng Google ang mga pag-install ng extension ng Chrome mula sa mga website ng third-party, sinabi rin ng kumpanya na magsisimula itong pag-aralan ang lahat ng mga extension na nakalista sa Chrome Web Store para sa malisyosong pag-uugali at aalisin ang mga nakakasakit.

Mag-ingat sa mga pag-scan

Gayunpaman, ang mga nakakahamak na extension ay natagpuan sa Chrome Web Store sa maraming pagkakataon mula noon, na nagmumungkahi na ang pag-scan ng extension ng Google at ang mekanismo ng pagsusuri ay maaaring ma-bypass. Noong Agosto 30, binigyan ng mga mananaliksik mula sa Barracuda Networks na pinamumunuan ng Facebook scammers upang linlangin ang higit sa 90,000 mga gumagamit upang i-install ang ilang mga nakakahamak na extension ng Chrome na naka-host sa Chrome Web Store bago ang mga extension ay tinanggal ng Google.

Isang Disyembre 20 na alerto mula sa Facecrooks, isang grupo na sinusubaybayan ang mga pagbabanta sa Facebook, binigyan ng babala tungkol sa isang scam na tricked ang mga gumagamit sa pag-install ng isang pusong extension ng Chrome sa pamamagitan ng pag-claim na binabago nito ang scheme ng kulay ng kanilang profile sa Facebook.

Ayon kay Balazs, ang katunayan na ang mga malisyosong extension ng mga developer ay namamahala sa pag-bypass sa Chrome Web Ang mga sistema ng pagtuklas ng malware ng tindahan ay hindi na nakakagulat.

Nakapagtatak sa code ng JavaScript o nagtatago ng mga nakahahamak na pag-andar sa loob ng iba pang di-nakakahamak na pag-andar, o paglikha ng di-nakakahamak na mga extension at pagdaragdag ng mga malisyosong function sa isang pag-update, Napakadaling sinabi ni Balazs. "Ito ang parehong laro ng pusa at mouse na nakikita natin sa pagitan ng mga developer ng malware at industriya ng AV."

"Sa ngayon ang Google ay ang pamantayan ng seguridad pagdating sa seguridad sa extension ng browser," sabi ni Balazs. Gayunpaman, ang isang malaking hakbang para sa Google ay upang i-disable ang lumang plugin ng lumang NPAPI (Netscape Plugin Application Programming Interface) na plugin sa lahat ng dako-ngayon ay hindi pinagana sa Chrome para sa Windows 8 Metro at Chromebook-at itaguyod ang mas secure at sandboxed Native Client architecture, Sinabi niya.

Ang bagong tampok sa pag-import ay magagamit para sa lahat ng mga bagong user, at dahan-dahan na pinalabas para sa mga mas lumang account sa mga darating na linggo . Maaari pa ring gamitin ng mga mas lumang user ang pagkuha ng POP3 mail at pag-import ng mga contact sa pamamagitan ng isang CSV file habang naghihintay sila para sa bagong tampok.

Ang bagong tampok sa pag-import ay magagamit para sa lahat ng mga bagong user, at dahan-dahan na pinalabas para sa mga mas lumang account sa mga darating na linggo . Maaari pa ring gamitin ng mga mas lumang user ang pagkuha ng POP3 mail at pag-import ng mga contact sa pamamagitan ng isang CSV file habang naghihintay sila para sa bagong tampok.

Nagdagdag din ang Google ng ilang higit pang mga tampok para sa Gmail kahapon. Ang kamakailan-lamang na inilunsad na nakapag-iisang mga contact manager ay maaari na ngayong mapagsama ang lahat ng iyong mga contact sa pamamagitan ng pag-import ng mga contact mula sa Outlook, Outlook Express, Hotmail at Yahoo sa format ng CSV, at OS X Address Book sa vCard format. Ang isang field ng kaarawan ay naidagdag sa kahilingan ng user.

Ang FTC noong Miyerkules ay inihayag na pinalawig nito ang pansamantalang pag-withdraw ng kaso laban sa antitrust laban sa Intel sa loob ng dalawang linggo habang ang dalawang panig ay nagpapatuloy sa mga talakayan sa pag-aayos. Ang unang FTC ay nagsuspinde sa mga legal na aksyon sa Hunyo 21, at ang bagong extension ay magbibigay ng mga pag-uusap sa pag-uusap hanggang Agosto 6. Ang isang ipinanukalang kasunduan ay nasa talahanayan, sinabi ng FTC sa isang pahayag.

Ang FTC noong Miyerkules ay inihayag na pinalawig nito ang pansamantalang pag-withdraw ng kaso laban sa antitrust laban sa Intel sa loob ng dalawang linggo habang ang dalawang panig ay nagpapatuloy sa mga talakayan sa pag-aayos. Ang unang FTC ay nagsuspinde sa mga legal na aksyon sa Hunyo 21, at ang bagong extension ay magbibigay ng mga pag-uusap sa pag-uusap hanggang Agosto 6. Ang isang ipinanukalang kasunduan ay nasa talahanayan, sinabi ng FTC sa isang pahayag.

Ang FTC noong Disyembre ay nagsampa ng isang kaso ng antitrust laban sa Intel, na nagcha-charge sa pinakamalaking tagagawa ng computer chip sa iligal na paggamit ng kanyang nangingibabaw na posisyon sa merkado upang pigilin ang kumpetisyon at palakasin ang kanyang monopolyo sa loob ng isang dekada. Sinasabi ng FTC na ang Intel ay nagsagawa ng isang "sistematikong kampanya" upang ihiwalay ang access ng mga rivals sa marketplace. Ang depinisyon ng FTC na sumulong sa isang kaso laban sa Intel ay du

Ay inilunsad sa isang panahon kapag walang Microsoft Fix It o ATS at Windows Troubleshooters, at ang tanging paraan para sa user na ayusin ang kanilang mga problema sa Windows ay sundin tutorial at mano-manong i-edit ang Windows Registry o i-download ang mga pag-aayos ng registry o mga file na bat at patakbuhin ang mga ito upang ayusin ang kanilang mga problema. FixWin v1 para sa Windows 7 at Windows Vista, ay isang first-of-its-kind tool na nagbago sa lahat ng iyon. Ang mga gumagamit ay maaarin

Ay inilunsad sa isang panahon kapag walang Microsoft Fix It o ATS at Windows Troubleshooters, at ang tanging paraan para sa user na ayusin ang kanilang mga problema sa Windows ay sundin tutorial at mano-manong i-edit ang Windows Registry o i-download ang mga pag-aayos ng registry o mga file na bat at patakbuhin ang mga ito upang ayusin ang kanilang mga problema. FixWin v1 para sa Windows 7 at Windows Vista, ay isang first-of-its-kind tool na nagbago sa lahat ng iyon. Ang mga gumagamit ay maaarin

TANDAAN: