Новости про безопасность и браузеры

Firefox получает собственную маску для email

Руководство Mozilla Foundation объявило о внедрении в свой браузер функции Firefox Relay — собственного сервиса маскирования адреса электронной почты.

Firefox Relay — это средство приватности, которое позволяет скрывать идентификатор электронной почты в онлайн-форме. При помощи псевдонимов Firefox Relay контролирует сообщения для вас и пересылает на оригинальный ящик. Таким образом, использование сервиса фактически скрывает реальный адрес, делая сложной рассылку спама. Когда вы закончили работу с сайтом, вы можете прекратить работу адреса-псевдонима, после чего связи теряются, и почта больше не доходит.

Огненная панда Firefox

Выпущенный в 2020 году Relay был доступен только в виде расширения к браузеру, и большинство пользователей даже не знали, что есть аддон, позволяющий легко блокировать трекинг и спам по электронной почте. Применяя сервис, вы сможете блокировать свой настоящий адрес, затруднив хакерам вашу идентификацию. Если создать для каждого сайта по отдельному псевдониму, злоумышленникам будет сложно идентифицировать вашу личность.

Сервис Relay будет доступен в браузере Firefox уже в этом году.

DuckDuckGo остановит слежку Android-приложений за вами

Популярный поисковый движок DuckDuckGo специализируется на безопасности. Однако история поиска является не единственным способом построения вашего цифрового профиля.

Компания уже предлагает собственный браузер Privacy Browser, который блокирует различные трекеры на сайтах. Теперь же разработчики пошли ещё дальше, внедрив функцию под названием App Tracking Protection. Эта функция входит в состав браузера DuckDuckGo для Android, и по своей сути повторяет возможности новой функции iOS, позволяя напрямую блокировать слежку за пользователями сторонними приложениями, установленными на телефоне. Приложение DDG позволяет выявлять рекламные трекеры в других приложениях и прекращать передачу данных от них рекламным компаниям, включая Google и Facebook.

Браузер DuckDuckGo

Обновлённое приложение DuckDuckGo сможет предложить панель управления, где будет показано, какое приложение пытается передать данные слежения, с возможностью эффективной блокировки в реальном времени благодаря собственной работе в фоне. Периодически инструмент будет показывать обобщённый отчёт по заблокированным трекерам.

Блокировка трекеров в браузере DuckDuckGo

К сожалению, функция повышения приватности пока находится на этапе бета-тестирования и требует ручной настройки. Подписаться на ожидание этой функции можно в настройках браузера DuckDuckGo Android в разделе «Приватность» / «Защита от трекинга приложений».

Mozilla обвиняет плагины Avast в сборе пользовательских данных

Группа Mozilla приняла решение удалить продукты Avast и AVG из репозитория дополнений своего браузера после того, как был выявлен сбор большого количества пользовательских данных.

Таким образом, теперь установить плагины Avast или AVG из хранилища Mozilla больше нельзя. Ни Avast Online Security и SafePrice, ни AVG Online Security и SafePrice, больше недоступны. При этом сами плагины пока не запрещены, так что ими можно свободно пользоваться.

Дополнения в Firefox

Создатель AdBlock Plus Владимир Палант опубликовал анализ работы расширения Avast в октябре 2019 года на своём персональном сайте. Он выявил, что расширения Avast передают данные материнской компании, и эти данные куда шире, чем требовалось бы для работы расширения. Так, расширение отсылает полные адреса страницы, заголовка страницы, рефералы и прочие данные по запросу. Данные собираются при открытии страницы и при переключении вкладки. На странице поиска передаётся также каждая ссылка.

Пока переговоры между Mozilla и Avast о работе плагина не ведутся, и если ситуация не изменится, средства Avast могут быть полностью заблокированы в Firefox.

Firefox готовится внедрить DNS-over-HTTPS по умолчанию

Группа Mozilla тестирует технологию DNS-over-HTTPS в течение нескольких месяцев, сотрудничая в этом направлении с Cloudflare и Akamai. Получив необходимый опыт, Mozilla теперь готова к внедрению технологии по умолчанию.

В сборке Nightly Firefox технология DoH появилась в 2018 году, а в финальных сборках она стала доступна несколько месяцев назад. Сейчас её можно включить вручную. Целью работы было повышение интеграции с Firefox с DoH. Проведя эксперименты, разработчики смогли выявить и устранить возможные проблемы, не нарушив комфорт пользователей и работу промышленных сетей.

В результате было решено внедрять DoH в «выпадающем режиме». Это означает, что, если при использовании DoH не удастся получить доменное имя, Firefox вернётся к использованию DNS, указанному операционной системой. Также, если Firefox выявляет наличие родительского контроля или политики предприятия, Firefox отключит шифрованный доступ к DNS.

В Mozilla уже начинают постепенно подключать DNS-over-HTTPS в Firefox по умолчанию на территории США.

Firefox 70 получит интеграцию с Have I Been Pwned

Ассоциация Mozilla сообщила, что версия 70 её браузера Firefox начнёт помечать веб-сайты без поддержки HTTPS как «небезопасные», также, как поступает Chrome с прошлого года. Кроме того, в обозревателе появится интеграция с Have I Been Pwned.

Сообщается, что будет обновлён встроенный менеджер паролей, который будет переименован в Firefox Lockwise. Он будет автоматически предупреждать пользователей о том, есть ли среди сохранённых логинов ранее взломанные.

Логотип Firefox

При вводе в адресной строке about:logins можно будет посмотреть, какие из логинов замечены в утечке данных. Ввод логина будет сопровождаться следующим уведомлением: «Пароль был украден с веб-сайта с тех пор, как вы последний раз обновляли детали вашего входа». Также будет предложено обновить пароль, для сохранности данных.

Обозреватель Firefox 70 будет выпущен 22 октября 2019 года.

Firefox предупредит об утечке на сайте

Компания Mozilla последнее время активно работает над повышением приватности в своём браузере. Новая инициатива в браузере Firefox позволит узнать об утечках на сайте.

Теперь пользователи Firefox Quantum будут получать уведомление в том случае, если посещаемый сайт недавно допустил утечку данных. Всплывающее сообщение будет содержать отчёт о природе и объёме уязвимости с возможностью перехода на сервис Firefox Monitor для уточнения деталей. Изменения будут доступны пользователям браузера постепенно в ближайшие недели.

Firefox

Используя Firefox Monitor пользователи смогут проверить, был ли их электронный адрес частью утечки данных, сверяясь по базе HIBP. Этот сервис, после запуска в сентябре, получил заметную популярность, на него уже подписались сотни тысяч пользователей. На фоне популярности сервис получил интерфейс с 26 новыми языками.

Пользователи получат лишь однократное уведомление об утечке данных на посещаемом сайте, чтобы не раздражать людей. Также функционал можно отключить во всплывающем окне. Уведомление будет отображаться только в случае, если утечка произошла менее 12 месяцев назад.

Chrome 70 может заблокировать ряд популярных сайтов

Новая версия браузера Google Chrome запланирована к выходу на 16 октября, и обозреватели предупреждают о проблеме, с которой могут столкнуться его пользователи.

Дело в том, что в Google решили отозвать сертификаты безопасности выданные Symantec. Решение принято после того, были выявлены несоответствия инфраструктуры стандартам безопасной выдачи сертификатов у Symantec. Дело в том, что Symantec разрешил множеству компаний выпускать сертификаты, несмотря на явные нарушения безопасности внутри этих организаций.

Google Chrome

Часть этих сертификатов Google уже отменила в июне 2016 года. Теперь, с релизом Chrome 70 любые сертификаты, выданные агентствами VeriSign, Thawte, Equifax и другими, окажутся недействительными.

Исследователь Скотт Хельме недавно провёл анализ сайтов, которые попадут под запрет. Оказалось, что в их число входят финансовые учреждения, например, Federal Bank of India, Penn State Federal, правительственные ресурсы Тель-Авива и даже сайт Ferrari.

При этом отмечается, что ограничения могут не затронуть некоторые субдомены, так что доступ может быть ограничен не ко всем сайтам, а лишь к некоторым их разделам.

Поддельное расширение Mega для Chrome привело к массовой утечке пользовательских данных

Сервис Mega является шифрованным облачным хранилищем данных. Но оказалось, что оно имеет большую уязвимость, и всё из-за расширения для браузера Chrome.

Из-за установки поддельного приложения из Chrome Web Store, содержащего вредоносный код, пользователи потеряли свои данные учётных записей и ключи от криптокошельков.

Компания Mega дала ряд пояснений: «4 сентября 2018 года в 14:30 неизвестные злоумышленники загрузили в магазин Google Chrome троянскую версию расширения MEGA для Chrome версии 3.39.4».

Кроме Mega вредоносное расширение было нацелено на сайты, такие как Amazon, Live (Microsoft), Github и Google, перехватывая учётные записи пользователей. Также оно воровало приватные ключи от кошельков криптовалют, нацелившись на такие сервисы, как MyEtherWallet, MyMonero, и Idex.market.

Логотип Mega

В Mega добавили: «Если вы посещали любой из этих сайтов, или использовали другое расширение, отсылающее учтённые данные простым текстом по POST запросам, по прямому подчинению или через фоновый процесс XMLHttpRequest (MEGA в их число не входит), пока троянская версия была активна, учтите, что ваши учётные данные скомпрометированы через этот сайт и/или приложения».

Пока расследование показывает, что вся перехваченная информация была направлены на некий украинский сервер. Каким образом хакерам удалось получить доступ к учётной записи Mega в Chrome Web Store, компания пока не знает.

Отмечается, что «спустя 4 часа после выявления уязвимости, троянское расширение было обновлено Mega до чистой версии 3.39.5 с принудительным автообновлением».

Chrome, Firefox и Opera блокируют приложение Stylish

Многим пользователям нравится плагин Stylish, который позволяет модифицировать внешний вид веб сайтов. Он доступен для многих браузеров и загружен более двух миллионов раз, но теперь он оказался под пристальным вниманием безопасников.

Дело в том, что этот плагин был выкуплен SimilarWeb в январе 2017 года, и новый владелец внёс большие изменения в политику безопасности, превратив плагин в инструмент перехвата данных. Плагин Stylish начал шпионить за пользователями и отправлять на свои сервера данные о посещаемых сайтах, результатах поиска Google, а также об укороченной и хэшированной версии IP, типе пользовательского агента и т.д.

Плагин Stylish

Программный инженер Роберт Хитсон заявил, что Stylish собирает историю браузера из Chrome с января 2017 года, а из Firefox с марта. Даже когда сбор данных был раскрыт, ни Google, ни Mozilla, ни Opera не предприняли каких-либо действий, пока Хитсон не опубликовал документ. Спустя пару дней Mozilla, Google и Opera забанили Stylish. Официального ответа от разработчиков плагина не поступало.

Вся эта история в очередной раз демонстрирует, что браузерные расширения, даже популярные, могут не быть безопасными.

Mozilla начинает тестировать функцию безопасности Firefox Monitor

Компания Mozilla начала работу над новой функцией безопасности для Firefox, которая позволяет выяснить, были ли аккаунты пользователей взломаны или компрометированы. Решение основано на ресурсе Троя Ханта Have I been Pwned (HIBP), который индексирует утечки данных.

Первичная разработка Троя была доработана и теперь тестируется на 250 000 пользователей, большая часть из которых живёт в США. После теста Firefox Monitor будет доступна для всех пользователей.

Firefox Monitor

Технология Firefox Monitor создана для контроля учётных записей и повышения безопасности пользователей Интернета, включая тех, кто пользуется другими браузерами, однако через Firefox стоит рассчитывать на дополнительный удобный функционал. Для проверки утечки пользователи должны будут ввести адрес своего почтового ящика на сайте Firefox Monitor и увидеть, были ли данные компрометированы и какие именно данные.

Адрес электронной почты будет проверен по базе HIBP, однако проверка будет проводится через CloudFlare особым образом, чтобы предотвратить передачу персональных данных. После проверки вебсайт предложит лучшее решение, чтобы обезопасить свою учётную запись от утечки.

Также Mozilla планирует запустить сервис, который будет предупреждать пользователей о новых брешах, в которых фигурируют их персональные данные.