Chrome

Представете си, че се събуждате и установявате, че профилът ви в Google е бил хакнат и нямате достъп до пощенската си кутия в Gmail. За много хора това би бил кошмарен сценарий. А той е съвсем реален. Хакерите вече използват техники за кражба на бисквитките на сесиите в Chrome, за да заобиколят 2FA защитите. 

Решението? Открийте си резервен акаунт в Gmail. 

Истината е, че той няма да ви помогне да се предпазите от самата атака. Той обаче ще смекчи въздействието ѝ, тъй като може да служи като резервно копие на важната и често незаменима информация. 

Как да настроим сигурно резервен акаунт в Gmail 

Тъй като Google предлага Gmail като напълно безплатна уеб базирана имейл платформа, създаването на няколко акаунта е изключително лесно: 

• излезте от профила си в Google;
• отидете на страницата за повторно влизане;
• изберете „Създаване на акаунт“ (Create account). 

За да гарантирате, че този нов акаунт няма да бъде компрометиран при атака срещу първия, използвайте допълнително удостоверяване от различно устройство. 2FA трябва да бъде базирано на самостоятелно приложение за генериране на код, а не чрез SMS на същия телефонен номер, както преди. Също така се опитайте да използвате възможно най-много напълно уникална информация при създаването на новия профил.  

След като създадете акаунта, отидете в настройките на основния и задайте правило за препращане, което да изпраща копие от всички имейли към втория акаунт.  

Нов инструмент демонстрира как хакерите могат да заобиколят защитата срещу кражба на бисквитки на Chrome – App-Bound – и да извлекат запаметените данни. 

Chrome-App-Bound-Encryption-Decryption е разработен от изследователя на киберсигурността Александър Хагена. 

През юли Google представи технологията App-Bound в Chrome 127 като нов механизъм за защита. Тя криптира бисквитките, използвайки услуга на Windows, която работи с привилегиите на ниво операционна система. Целта ѝ е да се защити чувствителната информация от зловреден софтуер, който използва правата на регистрирания потребител. Тя прави невъзможно декриптирането на откраднатите бисквитки, без да се вдигне тревога от софтуера за сигурност. 

Инструментът на Хагена обаче декриптира криптираните App-Bound ключове, съхранявани във файла Local State на Chrome. За целта той използва вътрешната COM-базирана услуга IElevator на Chrome. 

За да се използва той, трябва да се копира изпълнимият файл в директорията на Google Chrome. Тя обикновено се намира в C:\Program Files\Google\Chrome\Application. Тази папка е защитена, така че първо трябва да бъдат получени администраторски права. Но това е лесно постижимо, тъй като много потребители на Windows използват акаунти, които имат такива. 

Подобни методи вече се използват от хакерските групи. Затова избягвайте да съхранявате чувствителни данни в своите браузъри, независимо от уверенията за сигурност на техните производители.  

Кампания на известната хакерска група Lazarus Group разкри нова уязвимост в Google Chrome. Хакерите са използвали zero-day експлойт и инструмента Manuscrypt, за да поемат пълен контрол над заразените системи. 

Тази кампания се отличава от досегашните атаки на групата срещу правителства, финансови институции, платформи за криптовалути и др., тъй като е насочена директно към физически лица. 

От компанията за сигурност Kaspersky са проследили кампанията до фалшив уебсайт – detankzone.com – който се представя за легитимна DeFi гейминг платформа. Играта, рекламирана като NFT мултиплейърна онлайн арена за битки, се оказва фасада за зловреден код. Посетителите задействат експлойта просто като достъпват сайта през Chrome.  

Той е насочен към нововъведена функция във V8 JavaScript енджина на Chrome. Уязвимостта позволява на нападателите да заобиколят механизмите за сигурност на браузъра и да получат дистанционен контрол над засегнатите устройства.  

Хакерски групи като Lazarus продължават да усъвършенства атаките си, използвайки социално инженерство, zero-day eксплойти и легитимно изглеждащи платформи. Затова потребителите трябва да са много внимателни в какви сайтове влизат. Както се вижда от този случай, понякога е достатъчно само да посетите определена страница, за да станете жертва.  

Последиците могат да бъдат изключително сериозни. Само си помислете какво може да означава за вас някой да поеме пълен контрол над компютъра ви. 

Google пусна Chrome 130, в който са отстранени 17 уязвимости в сигурността нa браузърa.

Най-критичната от тях е свързана с AI компонента на Chrome.

Освен това актуализацията отстранява множество уязвимости със средна степен на сериозност – проблеми в Web Authentication, UI, PictureInPicture, DevTools, Dawn и Parcel Tracking.

Препоръчваме ви да актуализирате браузърите си възможно най-бързо. Отидете в настройките, изберете секцията About Chrome и задайте команда на браузъра да провери и инсталира всички налични актуализации.

 

 

Фалшива актуализация за Google Chrome разпространява зловредния софтуер WarmCookie чрез компрометирани уебсайтове. WarmCookie се използва за получаване на достъп до системата на потребителите с Windows и по принцип се разпространява чрез фишинг кампании, свързани с предложения за работа.  

Зловредният софтуер инсталира „задна вратичка“, която позволява както разпространение на повече полезни товари, така и проучване на целевите мрежи. 

WarmCookie краде пръстови отпечатъци, прави снимки на екрана, ексфилтрират откраднати данни, чете и записва файлове и взаимодейства със C&C сървър, за да получава команди. 

За да се предпазите от WarmCookie, проверявайте обстойно надеждността на предлаганите ви актуализации. За най-сигурно използвайте само официални страници, независимо дали става дума за Chrome или за някой друг софтуер. 

Google засилва мерките си за сигурност на Gmail с усъвършенствания си инструмент за изкуствен интелект – Gemini AI. Интеграцията има за цел да подобри възможностите на платформата за засичане на спам и зловреден софтуер. 

С внедряването на Gemini AI Gmail ще забавя леко доставката на имейли, съдържащи прикачени файлове. Те ще бъдат сканирани в защитена виртуална среда, преди да достигнат до пощенските кутии на потребителите.  

В допълнение към процеса на сканиране потребителите на Gmail ще имат достъп до функции за персонализиране, които подобряват възможностите им за филтриране на електронна поща.  

Gemini AI автоматично ще пренасочва подозрителните имейли към папката за спам, предлагайки допълнително ниво на защита срещу злонамерени атаки. Трябва да имате предвид обаче, че AI понякога може да интерпретира погрешно легитимни имейли. Важни съобщения, като банкови извлечения или напомняния за вноски по кредитни карти могат по невнимание да бъдат маркирани като спам въз основа на техните теми. Прехвърлянето им в основната поща ще изисква намесата на потребителя. 

 

Актуализация на известния малуер White Snake се възползва от нова функция в Google Chrome, за да краде критични данни за банкови карти. 

Версия 129 на браузъра, пусната на 17 септември 2024 г., въведе няколко нови функционалности за подобряване на потребителското изживяване, в това число и възможността за съхраняване на CVC (Card Verification Code) на кредитни и дебитни карти. Именно тя е привлякла вниманието на киберпрестъпниците. 

Разработчиците на зловредния софтуер са актуализирали възможностите за извличане на тези CVC кодове от браузърите на жертвите, което ги улеснява при извършването на измами и кражби. 

Очаква се Google да отстрани тази уязвимост, но дотогава потребителите трябва да предприемат активни мерки за защита на финансовата си информация: 

• използвайте двуфакторна автентикация за всички финансови акаунти; 
• обмислете използването на виртуални кредитни карти за онлайн транзакции; 
• редовно проверявайте банковите си извлечения за подозрителна активност; 
• инсталирайте надежден антивирусен софтуер с възможности за засичане на финансови заплахи.  

  

Google обяви набор от нови функции за своя браузър Chrome. Актуализациите имат за цел да защитят потребителите от онлайн заплахи, като същевременно предлагат по-голям контрол върху личните данни. 

Подобрената версия на Chrome въвежда усъвършенствана проверка за безопасност и опростено управление на известията.  

В центъра на новите актуализации за сигурност на Chrome е обновената функционалност Safety Check, която вече работи автоматично във фонов режим. Тя отменя разрешенията на сайтове, идентифицирани от Google Safe Browsing като измамни, и маркира потенциално вредни известия.  

На настолни компютри Safety Check ще предупреждава потребителите за потенциално рискови разширения на Chrome и ще ги насочва към обобщаващ панел, където могат лесно да ги управляват или премахват. 

На устройствата Pixel, а скоро и на повече устройства с Android, потребителите вече ще могат да използват бутона „Отписване“ директно в секцията за известия, за да спрат да получават съобщения от определени сайтове. 

  

Google тества нова експериментална функция за проследяване на потребителска активност в Chrome, наречена Federated Learning of Cohorts (FLoC). Проучването обхваща 0,5% от потребителите на Chrome в избрани региони. Участниците обаче не са предупредени за това, нито е поискано съгласието им.

Можете да проверите дали браузърът ви е включен в провежданите тестове ТУК.

Предупреждаваме, че резултатът от проверката е актуален буквално за конкретния момент, тъй като Google може по всяко време да променя набора от потребители, включени в проучването. Така, ако към момента не сте част от тестовата група, може да станете – и обратното.

Какво е FLoC

Към момента, основната технология, използвана за проследяване на потребителското поведение онлайн, са бисквитките. Еволюцията на интернет, обаче, води до естествения им край – защото все повече потребители отказват да разрешат използването им и дори обратното, търсят начини да ги блокират. Затова Google (и не само те) се опитват да намерят други, по-ефективни начини.

Един от тях е FLoC – технология, която работи в браузъра ви (Chrome), анализира историята на сърфирането ви от последната седмица и ви причислява към групи с други потребители от цял свят с подобно на вашето поведение. Всяка група си има уникално FLoC ID, което може (и на практика е) споделяно с всяко приложение, с което взаимодействате в интернет през браузъра си.

Т.е. FLoC позволява т. нар. browser fingerprinting, а FLoC ID дава възможност рекламодателите по-лесно да ви идентифицират в браузъра и да ви профилират, като част от група, към която сте присъединени.

Как FLoC ви засяга като потребител

FLoC е нова технология със собствен алгоритъм за проследяване и анализиране на данните. Ако сте сред тестовите потребители на функционалността, това означава, че за периода на проучването ще бъдете проследявани както чрез FLoC, така и чрез традиционните бисквитки на трети страни (ако сте приели такива).

Как може да откажете да участвате в изпитването на FLoC

1. Ако искате да продължите да използвате Chrome, трябва да деактивирате бисквитките на трети страни. Това обаче може да затрудни навигацията в някои уебсайтове
2. Можете да използвате различен браузър: Понастоящем други браузъри – Firefox, Microsoft Edge, Brave, Vivaldi – твърдят, че нямат активиран FLoC. Firefox и Safari дори изключиха проследяването на трети страни по подразбиране още преди години
3. Ако притежавате уебсайт с достъп до API на FLoC или ако Chrome установи, че страницата ви обслужва реклами, автоматично ще бъдете включени в проучването. Можете изрично да откажете, като изпратите HTTP response header: Permissions–Policy: interest–cohort=()

Изследователите по киберсигурност от екипа Project Zero на Google, специализирани в откриването на 0-day уязвимости, публикуваха доклад от шест части, в който подробно описват сложна хакерска операция, засечена в началото на 2020 г.

Тя е насочена към собствениците на Android и Windows устройства. Атаките са извършени чрез два експлойт сървъра (единият, предназначен за Windows потребители, а другият – за Android), изпълняващи различни последователни експлойт събития (exploit chains) чрез т.нар. “Watering hole” метод за атака.

И двата експлойт сървъра са използвали уязвимости в Google Chrome, за да осигурят нерегламентиран достъп до устройствата на жертвите. Веднъж получили входна точка посредством браузъра, хакерите инсталират експлойт на ниво ОС, за да получат по-голям контрол върху устройството на жертвата.

Последователните експлойт събития включват комбинация от уязвимости, както от тип 0-day, така и n-day. 0-day се отнася за уязвимости, неизвестни за вендора към момента на експлоатиране, а n-day – за такива, които са били закърпени, но все още се наблюдава активното им експлоатиране.

Какво съдържат експлойт сървърите

• Четири „renderer“ грешки в Google Chrome, една от които все още не е била позната (0-day) на Google, когато е била открита от екипа на Project Zero
• Два експлойта, които са специализирани в това, да избягват засичането им в облачно базирани среди (sandboxing) и които ескплоатират три 0-day уязвимости в Windows
• Пакет за ескалиране на привилегиите (privilege escalation kit), съставен от публично известни n-day експлойти за по-стари версии на Android OS.

0-day уязвимостите са закърпени през пролетта на 2020г

• CVE-2020-6418 – Chrome Vulnerability in TurboFan (закърпен през Февруари 2020)
• CVE-2020-0938 – Font Vulnerability on Windows (закърпен през Април 2020)
• CVE-2020-1020 – Font Vulnerability on Windows (закърпен през Април 2020)
• CVE-2020-1027 – Windows CSRSS Vulnerability (закърпен през Април 2020)

Въпреки че на споменатите по-горе експлойт сървъри не са открити 0-day за Android, специалистите от Project Zero предполагат, че хакерите най-вероятно са имали достъп именно до такъв тип експлойт. Просто той не е бил хостнат на тези сървъри по времето на провеждане на изследването.

Google: Последователните експлойт събития са сложни и добре разработени

Google разкрива, че става дума за добре проектиран, сложен код, с разнообразие от нови методи за експлоатация, усъвършенствани и изчислени следексплоатационни техники и голям обем от антианализиращи и описващи защити.

Не се предоставят други подробности за нападателите или профила на таргетираните жертви.

В блога на Project Zero са налични още доклади по темата

Публикувани са и други доклади, свързани с „infinity bug“ в Google Chrome, който е използван при атаките, последователните експлойт събития, съответно при Chrome, Android, Windows, както и следексплоатационни техники, използвани отново при Android устройствата.

Предоставените доклади ще осигурят възможност на други вендори в областта на информационната сигурност да идентифицират подобни атаки срещу своите клиенти и да проследят и други сходни действия, извършени от същите злонамерени лица.

Препоръки

Разгледаната атака е поредното доказателство, че хакерите продължават да усъвършенстват и подобряват своите тактики, техники и процедури (TTPs).

Екипът на FreedomOnline.bg препоръчва винаги да използвате последната налична версия както на ниво ОС/фърмуер, така и на инсталираните програми/апликации. По този начин ще се предпазите от експлоатиране на вече известни уязвимости (n-day).

Внимавайте също така какво инсталирате на вашето устройство и какъв достъп разрешавате. За разлика от n-day, където един пач (patch) би елиминирал уязвимостта, при 0-day това само по себе си не е достатъчно, а са необходими мерки от типа на многопластова защита (defence-in-depth) и защитни механизми, които биха идентифицирали подозрително и нехарактерно поведение на устройствата.