Security Week 2432: шифрование cookie в браузере Google Chrome
На прошлой неделе компания Google объявила об усилении защиты файлов cookie в браузере Google Chrome. Кража сессионных cookie активно практикуется вредоносным программным обеспечением. Зачастую это позволяет злоумышленникам сравнительно легко получить доступ к веб-сервисам (корпоративным или персональным), в которых залогинен пользователь, без кражи паролей к ним. В результате данные браузера становятся одной из главных мишеней инфостилеров. Улучшение касается Chrome под Windows. Начиная с версии браузера Chrome 127, будет внедрена система шифрования данных, ограничивающая доступ к ним со стороны других приложений.
Проблема, которую пытаются решить в Google, заключается в том, что информация, защищенная стандартным механизмом Data Protection API (DPAPI) в Windows, доступна любой другой программе, выполняемой с правами пользователя. В дополнение к этому в Chrome 127 реализована концепция шифрования, привязанного к конкретному приложению или Application-Bound Encryption. Отдельный сервис будет проверять обращения к файлам cookie и расшифровывать их, только если к ним обращается браузер.
Побочным эффектом данного нововведения является привязка данных к конкретному компьютеру: метод не будет работать, если профиль браузера используется на нескольких системах попеременно. По мнению разработчиков Google Chrome, новый механизм поможет исключить кражу cookie «простым» вредоносным ПО, запускающимся с привилегиями пользователя. Остаются возможными сценарии, когда вредоносное ПО получает более высокие привилегии в системе или каким-то образом внедряется в код самого браузера. Как минимум может быть нарушена работоспособность существующего вредоносного ПО. В корпоративном окружении, где запуск ПО с повышенными привилегиями заблокирован и/или отслеживается, будет снижена вероятность успешной атаки на корпоративные сервисы через кражу данных сотрудника.
В Google Chrome 127 новый механизм затрагивает только файлы cookie, но в следующих версиях обещано распространение системы на сохраненные пароли, платежные данные и другую информацию. В публикации разработчиков отдельно отмечено, что в других операционных системах задействованы иные механизмы защиты данных: Keychain services в Mac OS и системные средства kwallet или gnome-libsecret в Linux. Предположительно они не требуют дополнительных усилий по защите данных со стороны разработчика браузера. Еще один механизм защиты сессионных cookie был внедрен в браузере Chrome в апреле этого года: тогда была реализована привязка сессий к конкретному устройству.
Что еще произошло
Еще одна, чуть менее позитивная, новость о Google Chrome связана с постепенным отказом от расширений, использующих платформу Manifest V2. Google Chrome начал предупреждать пользователей о том, что популярное расширение uBlock Origin для блокировки рекламы и другие «устаревшие» расширения скоро перестанут работать. При этом новый интерфейс Manifest V3 ограничивает возможности расширений, и больше всего это сказывается именно на блокировщиках рекламы.
На прошлой неделе произошел еще один сбой в работе облачных сервисов Microsoft Azure. Предпосылкой сбоя стала DDoS-атака, а реальной причиной — некорректная работа средств защиты от таких атак. Перебои в работе Azure продолжались в течение восьми часов 31 июля.
Исследователи «Лаборатории Касперского» публикуют анализ трех современных шифровальщиков, используемых для атаки на корпоративную инфраструктуру. Один из вымогателей нацелен на гипервизоры VMware ESXi.
Широко обсуждалась на прошлой неделе новость о неудачной атаке с использованием методов социальной инженерии на сотрудника автопроизводителя Ferrari. Злоумышленник позвонил сотруднику, представившись генеральным директором компании. Голос и манера речи были очень похожи на таковые у реального руководителя организации. Предотвратить атаку сотрудник смог, спросив у злоумышленников, какую книгу они обсуждали с гендиректором незадолго до звонка.
Уже давно известно, что через рекламную сеть Google регулярно рекламируется вредоносное программное обеспечение. На прошлой неделе была зафиксирована мошенническая реклама якобы от имени самой Google: злоумышленники таким образом распространяли вредоносное ПО под видом приложения Google Authenticator.
Издание Bleeping Computer со ссылкой на компанию Zimperium пишет о масштабной атаке на пользователей смартфонов под управлением Android. Через мошенническую рекламу или спам-рассылки в мессенджерах распространяется вредоносное ПО, которое, в частности, может перехватывать SMS-сообщения с кодами двухфакторной аутентификации, для дальнейшего взлома учетных записей пользователей в различных сервисах.
Интересная публикация в журнале Wired поднимает тему поддержки программного обеспечения в автомобилях. Современные автомобили по праву можно называть «компьютерами на колесах», их компьютерные системы становятся все сложнее. Соответственно, сложнее становится поддерживать актуальность и безопасность программного обеспечения в течение всего срока службы автомобиля. Приводятся слова автопроизводителя Rivian, который обещает поддержку своей продукции в течение семи лет. Для, например, смартфонов это считается достойной мерой поддержки. Проблема в том, что срок службы автомобилей гораздо больше: так, в США средний возраст автомобилей превышает 12 лет.