Новости про Chrome

Google будет брать плату с производителей за свои приложения

Компания Google объявила об изменении правил лицензирования приложений Android в Европе, решив взымать лицензионные отчисления с производителей.

Данные изменения стали реакцией на пятимиллиардный штраф Европейской Комиссии за «нелегальное внедрение» браузера Chrome и поисковых приложений в Android.

Google Android
Google Android

Исторически Google не взымал плату за Android и его приложения, зарабатывая на своём браузере и поисковой системе. Однако их разделение меняет уравнение, поэтому теперь компания требует оплаты за пользование, например, Play Store.

Базовая операционная система Android остаётся бесплатной и открытой, однако если производитель телефона или планшета решит установить приложения Google и Play Store, ему придётся платить лицензионные отчисления в Европе. При этом возможно лицензирование Chrome и поисковой системы по отдельности.

Пока не ясно, сколько будут платить производители, но так или иначе, сервисы Google теперь стоят денег.

Chrome 70 может заблокировать ряд популярных сайтов

Новая версия браузера Google Chrome запланирована к выходу на 16 октября, и обозреватели предупреждают о проблеме, с которой могут столкнуться его пользователи.

Дело в том, что в Google решили отозвать сертификаты безопасности выданные Symantec. Решение принято после того, были выявлены несоответствия инфраструктуры стандартам безопасной выдачи сертификатов у Symantec. Дело в том, что Symantec разрешил множеству компаний выпускать сертификаты, несмотря на явные нарушения безопасности внутри этих организаций.

Google Chrome
Google Chrome

Часть этих сертификатов Google уже отменила в июне 2016 года. Теперь, с релизом Chrome 70 любые сертификаты, выданные агентствами VeriSign, Thawte, Equifax и другими, окажутся недействительными.

Исследователь Скотт Хельме недавно провёл анализ сайтов, которые попадут под запрет. Оказалось, что в их число входят финансовые учреждения, например, Federal Bank of India, Penn State Federal, правительственные ресурсы Тель-Авива и даже сайт Ferrari.

При этом отмечается, что ограничения могут не затронуть некоторые субдомены, так что доступ может быть ограничен не ко всем сайтам, а лишь к некоторым их разделам.

Возможна реализация входа в Windows 10 через учётную запись Google

Новшество в проекте Chromium приводит нас к тому, что в будущем пользователи Windows 10 смогут входить в свои машины при помощи учётной записи Google. Проект Chromium предоставит поддержку Google Chrome для выдачи аттестатов в Windows 10.

Провайдеры аттестатов позволяют входить в Windows 10 посредством паролей или биометрической аутентификации. Третьи разработчики могут создавать свои собственные провайдеры аттестатов и регистрировать их для использования в Windows 10. Оказывается, Google планирует зарегистрировать браузер Chrome в качестве менеджера аттестатов в Windows 10.

Вход в Windows 10
Вход в Windows 10

Опубликованный код Chromium предполагает, что пользователи смогут входить в Windows 10 через учётную запись в G-Suite. Вполне возможно, что поддерживаться будут обычные учётные записи Google.

Когда же Google выпустит функцию провайдера аттестата пока неизвестно. Сейчас проект находится на ранних этапах разработки.

Windows 10 будет отговаривать пользователей от других браузеров

В качестве эксперимента в очередной сборке Windows 10 компания Microsoft решила выдавать пользователям уведомление в случае, если они хотят поставить Google Chrome или Mozilla Firefox.

Это лишь эксперимент, и он не планируется ко включению в финальную версию ОС в октябре, однако такая возможность не исключается в будущем. Идея заключается в том, чтобы лишний раз привлечь внимание пользователей и отговорить их от установки сторонних обозревателей. Сообщение появляется при инсталляции конкурирующего решения.

Microsoft Edge

«У вас уже есть Microsoft Edge — самый безопасный, быстрейший браузер для Windows 10». У сообщения есть два варианта для выбора: открыть Edge или продолжать установку.

При отказе будет продолжена установка стороннего браузера. Отключить функцию можно через настройки со ссылкой к ним прямо в сообщении.

Вряд ли такая инициатива придёт по нраву пользователем. Такое действие компании по продвижению своего обозревателя выглядит несколько жалко. Сейчас доля Edge составляет лишь 4%.

Поддельное расширение Mega для Chrome привело к массовой утечке пользовательских данных

Сервис Mega является шифрованным облачным хранилищем данных. Но оказалось, что оно имеет большую уязвимость, и всё из-за расширения для браузера Chrome.

Из-за установки поддельного приложения из Chrome Web Store, содержащего вредоносный код, пользователи потеряли свои данные учётных записей и ключи от криптокошельков.

Компания Mega дала ряд пояснений: «4 сентября 2018 года в 14:30 неизвестные злоумышленники загрузили в магазин Google Chrome троянскую версию расширения MEGA для Chrome версии 3.39.4».

Кроме Mega вредоносное расширение было нацелено на сайты, такие как Amazon, Live (Microsoft), Github и Google, перехватывая учётные записи пользователей. Также оно воровало приватные ключи от кошельков криптовалют, нацелившись на такие сервисы, как MyEtherWallet, MyMonero, и Idex.market.

Логотип Mega
Логотип Mega

В Mega добавили: «Если вы посещали любой из этих сайтов, или использовали другое расширение, отсылающее учтённые данные простым текстом по POST запросам, по прямому подчинению или через фоновый процесс XMLHttpRequest (MEGA в их число не входит), пока троянская версия была активна, учтите, что ваши учётные данные скомпрометированы через этот сайт и/или приложения».

Пока расследование показывает, что вся перехваченная информация была направлены на некий украинский сервер. Каким образом хакерам удалось получить доступ к учётной записи Mega в Chrome Web Store, компания пока не знает.

Отмечается, что «спустя 4 часа после выявления уязвимости, троянское расширение было обновлено Mega до чистой версии 3.39.5 с принудительным автообновлением».

Chrome, Firefox и Opera блокируют приложение Stylish

Многим пользователям нравится плагин Stylish, который позволяет модифицировать внешний вид веб сайтов. Он доступен для многих браузеров и загружен более двух миллионов раз, но теперь он оказался под пристальным вниманием безопасников.

Дело в том, что этот плагин был выкуплен SimilarWeb в январе 2017 года, и новый владелец внёс большие изменения в политику безопасности, превратив плагин в инструмент перехвата данных. Плагин Stylish начал шпионить за пользователями и отправлять на свои сервера данные о посещаемых сайтах, результатах поиска Google, а также об укороченной и хэшированной версии IP, типе пользовательского агента и т.д.

Плагин Stylish
Плагин Stylish

Программный инженер Роберт Хитсон заявил, что Stylish собирает историю браузера из Chrome с января 2017 года, а из Firefox с марта. Даже когда сбор данных был раскрыт, ни Google, ни Mozilla, ни Opera не предприняли каких-либо действий, пока Хитсон не опубликовал документ. Спустя пару дней Mozilla, Google и Opera забанили Stylish. Официального ответа от разработчиков плагина не поступало.

Вся эта история в очередной раз демонстрирует, что браузерные расширения, даже популярные, могут не быть безопасными.

Chrome, Edge и Firefox скоро могут лишится паролей благодаря стандарту WebAuthn

В скором времени, благодаря стандарту WebAuthn, обозреватели интернета могут лишиться паролей. Сейчас его уже поддерживает Firefox, а браузеры Chrome и Edge готовятся к его реализации.

Разрабатываемый World Wide Web Consortium (W3C) и FIDO Alliance стандарт WebAuthn является API, который позволяет разработчикам лучше реализовывать новый стандарт безопасного логина FIDO2, который использует разные методы аутентификации, включая биометрику и USB брелоки. Их применение позволяет исключить использование паролей.

Ключ аппаратной защиты

Такой шаг позволит решить проблему путаницы паролей и фишинговых сайтов, позволяя осуществлять операции с онлайн сервисами намного безопаснее.

Технология WebAuthn уже давно находится в разработке, но чтобы стать популярной ей нужно заручиться поддержкой браузеров. Крупнейшие игроки рынка уже заявили об этом. Исключением является Apple, которая пока не сообщила о поддержке технологии в Safari, хотя компания и является одним из разработчиков API.

Вход в онлайн сервисы с помощью аппаратного ключа не является чем-то новым. Такой подход часто используют правительственные организации, однако для этого требуется специализированный донгл и драйвер. Технология WebAuthn унифицирует эту систему, позволяя применять общедоступные библиотеки.

Chromecast вызывает проблемы в сетях WiFi

Если вы пользуетесь устройством Google Chromecast, которое подключаясь к телевизору по HDMI и позволяет передавать на него видео с Android устройств, то, возможно, вы сталкиваетесь с проблемой подвисания WiFi.

Оказалось, что причина кроется в особенностях работы Chromecast, который потребляет пакеты Multicast DNS (MDNS) за короткий промежуток времени. Обычно пакеты MDNS отсылаются с интервалом 20 с. Однако при пробуждении устройства из режима сна количество пакетов за короткий промежуток времени может превысить 100 000 штук. И чем дольше устройство «спит», тем больше пакетов оно потребляет при пробуждении.

Chromecast 2

В результате это может привести к отключению в работе некоторых базовых функций роутера, включая беспроводную связь.

Производители роутеров уже готовят бета версии прошивок, которые исправляют данную проблему. Проблема существует достаточно давно, но только теперь производители обратили на неё внимание. Кроме Chromecast проблемы с беспроводной сетью вызывают и другие устройства Google, к примеру, Google Home Max.

Google патентует систему автоматического открытия экрана

Компания Google получила подтверждение патента на моторизованную крышку ноутбука с дисплеем.

Если поисковый гигант решит реализовать новую функцию в хромобуках, то это приведёт к возможности автоматического открывания ноутбука нажатием одной кнопки. Более того, моторизованная крышка также будет автоматически настраивать угол раскрытия, оптимально располагая экран к лицу пользователя.

После открытия крышки процессор должен определить лицо с помощью камеры и центрировать экран. Далее, в ходе работы, процессор будет следить за позицией лица, и подстраивать положение экрана.

Моторизованный дисплей хромобука

К примеру, если пользователь сидит на стуле, крышка будет находиться в вертикальной позиции, однако когда он поднимется — крышка раскроется, в крайнем положении став параллельной столу, сохраняя лицо в середине поля обзора камеры.

Открытие крышки и разблокировка компьютера будут иметь различные уровни безопасности. Так, для разблокировки будет необходима аутентификация.

Патент на приводную крышку был опубликован ещё в конце 2013 года, но только теперь получил подтверждение.

Вэб-майнинг эволюционирует

После того, как Pirate Bay внедрила идею майнинга на сайте, многие другие ресурсы последовали её примеру. Однако чтобы прекратить нагружать ваш процессор, было достаточно закрыть в браузере вкладку. Теперь майнеры эволюционировали, и простого закрытия обозревателя недостаточно.

Антишпионский сервис Malwarebytes выявил новую форму вэб-майнера криптовалюты, который работает даже после закрытия браузера. Для этого использован примитивный трюк. Открываясь, страница с майнером исполняет скрипт со всплывающим окном, которое сворачивается в область за панелью задач возле часов в системном трее. Это предельно простое решение, но оно позволяет оставаться незамеченным долгое время, пока пользователь не обратит внимания на сгруппированные значки или не проверит диспетчер задач.

Сокрытие окна браузера

Аналитик Malwarebytes Жером Сегура сообщил: «Это всплывающее окно создано для обхода блокировщиков рекламы, и его намного сложнее обнаружить, потому что оно хитро прячется. Закрытие браузера кнопкой „X“ больше неэффективно».

Решением проблемы может стать внимательное слежение за потребляемыми ресурсами, контроль активности браузера в диспетчере задач, а для лучшей визуализации свёрнутого окна — отключение группировки и сокрытия значков системном трее.

Сегура отметил, что метод рассчитан на работу с Windows 7 и Windows 10 и браузером Chrome, но очевидно, что следующим шагом будет поддержка зловредом других обозревателей интернета.