Новости про Chrome

Из-за установки поддельного приложения из Chrome Web Store, содержащего вредоносный код, пользователи потеряли свои данные учётных записей и ключи от криптокошельков.

Компания Mega дала ряд пояснений: «4 сентября 2018 года в 14:30 неизвестные злоумышленники загрузили в магазин Google Chrome троянскую версию расширения MEGA для Chrome версии 3.39.4».

Кроме Mega вредоносное расширение было нацелено на сайты, такие как Amazon, Live (Microsoft), Github и Google, перехватывая учётные записи пользователей. Также оно воровало приватные ключи от кошельков криптовалют, нацелившись на такие сервисы, как MyEtherWallet, MyMonero, и Idex.market.

В Mega добавили: «Если вы посещали любой из этих сайтов, или использовали другое расширение, отсылающее учтённые данные простым текстом по POST запросам, по прямому подчинению или через фоновый процесс XMLHttpRequest (MEGA в их число не входит), пока троянская версия была активна, учтите, что ваши учётные данные скомпрометированы через этот сайт и/или приложения».

Пока расследование показывает, что вся перехваченная информация была направлены на некий украинский сервер. Каким образом хакерам удалось получить доступ к учётной записи Mega в Chrome Web Store, компания пока не знает.

Отмечается, что «спустя 4 часа после выявления уязвимости, троянское расширение было обновлено Mega до чистой версии 3.39.5 с принудительным автообновлением».

Дело в том, что этот плагин был выкуплен SimilarWeb в январе 2017 года, и новый владелец внёс большие изменения в политику безопасности, превратив плагин в инструмент перехвата данных. Плагин Stylish начал шпионить за пользователями и отправлять на свои сервера данные о посещаемых сайтах, результатах поиска Google, а также об укороченной и хэшированной версии IP, типе пользовательского агента и т.д.

Программный инженер Роберт Хитсон заявил, что Stylish собирает историю браузера из Chrome с января 2017 года, а из Firefox с марта. Даже когда сбор данных был раскрыт, ни Google, ни Mozilla, ни Opera не предприняли каких-либо действий, пока Хитсон не опубликовал документ. Спустя пару дней Mozilla, Google и Opera забанили Stylish. Официального ответа от разработчиков плагина не поступало.

Вся эта история в очередной раз демонстрирует, что браузерные расширения, даже популярные, могут не быть безопасными.

Разрабатываемый World Wide Web Consortium (W3C) и FIDO Alliance стандарт WebAuthn является API, который позволяет разработчикам лучше реализовывать новый стандарт безопасного логина FIDO2, который использует разные методы аутентификации, включая биометрику и USB брелоки. Их применение позволяет исключить использование паролей.

Такой шаг позволит решить проблему путаницы паролей и фишинговых сайтов, позволяя осуществлять операции с онлайн сервисами намного безопаснее.

Технология WebAuthn уже давно находится в разработке, но чтобы стать популярной ей нужно заручиться поддержкой браузеров. Крупнейшие игроки рынка уже заявили об этом. Исключением является Apple, которая пока не сообщила о поддержке технологии в Safari, хотя компания и является одним из разработчиков API.

Вход в онлайн сервисы с помощью аппаратного ключа не является чем-то новым. Такой подход часто используют правительственные организации, однако для этого требуется специализированный донгл и драйвер. Технология WebAuthn унифицирует эту систему, позволяя применять общедоступные библиотеки.

Оказалось, что причина кроется в особенностях работы Chromecast, который потребляет пакеты Multicast DNS (MDNS) за короткий промежуток времени. Обычно пакеты MDNS отсылаются с интервалом 20 с. Однако при пробуждении устройства из режима сна количество пакетов за короткий промежуток времени может превысить 100 000 штук. И чем дольше устройство «спит», тем больше пакетов оно потребляет при пробуждении.

В результате это может привести к отключению в работе некоторых базовых функций роутера, включая беспроводную связь.

Производители роутеров уже готовят бета версии прошивок, которые исправляют данную проблему. Проблема существует достаточно давно, но только теперь производители обратили на неё внимание. Кроме Chromecast проблемы с беспроводной сетью вызывают и другие устройства Google, к примеру, Google Home Max.

Если поисковый гигант решит реализовать новую функцию в хромобуках, то это приведёт к возможности автоматического открывания ноутбука нажатием одной кнопки. Более того, моторизованная крышка также будет автоматически настраивать угол раскрытия, оптимально располагая экран к лицу пользователя.

После открытия крышки процессор должен определить лицо с помощью камеры и центрировать экран. Далее, в ходе работы, процессор будет следить за позицией лица, и подстраивать положение экрана.

К примеру, если пользователь сидит на стуле, крышка будет находиться в вертикальной позиции, однако когда он поднимется — крышка раскроется, в крайнем положении став параллельной столу, сохраняя лицо в середине поля обзора камеры.

Открытие крышки и разблокировка компьютера будут иметь различные уровни безопасности. Так, для разблокировки будет необходима аутентификация.

Патент на приводную крышку был опубликован ещё в конце 2013 года, но только теперь получил подтверждение.

Антишпионский сервис Malwarebytes выявил новую форму вэб-майнера криптовалюты, который работает даже после закрытия браузера. Для этого использован примитивный трюк. Открываясь, страница с майнером исполняет скрипт со всплывающим окном, которое сворачивается в область за панелью задач возле часов в системном трее. Это предельно простое решение, но оно позволяет оставаться незамеченным долгое время, пока пользователь не обратит внимания на сгруппированные значки или не проверит диспетчер задач.

Аналитик Malwarebytes Жером Сегура сообщил: «Это всплывающее окно создано для обхода блокировщиков рекламы, и его намного сложнее обнаружить, потому что оно хитро прячется. Закрытие браузера кнопкой „X“ больше неэффективно».

Решением проблемы может стать внимательное слежение за потребляемыми ресурсами, контроль активности браузера в диспетчере задач, а для лучшей визуализации свёрнутого окна — отключение группировки и сокрытия значков системном трее.

Сегура отметил, что метод рассчитан на работу с Windows 7 и Windows 10 и браузером Chrome, но очевидно, что следующим шагом будет поддержка зловредом других обозревателей интернета.

Стабильный канал Chrome недавно обновился до версии 58.0.3029.96 на операционных системах Windows, macOS и Linux, и это обновление пройдёт у пользователей в ближайшие дни. Его особенностью станет автоматическая смена разрядности браузера. Так, если вы используете 32-битную версию Chrome на 64-битной системе Windows, и включили автообновление браузера, то оно автоматически установить 64-битную версию Chrome, что должно повысить производительность, стабильность и безопасность.

После такого автоматического обновления вы, как и раньше, сможете скачать и установить 32-битный вариант браузера.

Если же вы подключены к бета каналу Chrome 59 или используете macOS, то вы увидите стилизованное под системное сообщение, с предложением обновить версию браузера.

В своём блоге компания сообщила, что виртуальная реальность в браузере лучше всего демонстрируется посредством платформы Daydream, однако пользователи могут «смотреть VR контент на любом телефоне или настольном ПК и взаимодействовать, используя пальцы или мышь». Данная информация, несомненно, обрадует владельцев смартфонов, пригодных для использования с Daydream, а недавнее решение компании снизить цену на Daydream View и открыть платформу для разработчиков поспособствует развитию платформы.

Компания также назвала несколько веб-сайтов, которые уже предлагают использовать преимущества VR. К примеру, площадка National Film Board предлагает посмотреть документальный фильм о жизни медведей гризли, а Within предлагает доступ к «более чем двум дюжинам фильмов-лауреатов в виртуальной реальности». Также отмечается Sketchfab, который имеет «более миллиона захватывающих 3D сцен в виртуальной реальности».

Поддержка виртуальной реальности уже доступна в Chrome.

Фишинговая атака довольно проста. Когда пользователь заполняет информацию в текстовых полях, автозаполнение сканирует все прочие текстовые поля, подбирая ранее введенные аналогичные значения. Это происходит даже в случае, если эти поля невидимы. В демонстрации, Куосманен показал простую онлайн форму лишь с двумя видимыми полями «Имя» и «Email», которая благодаря скрытым полям и автозаполнению собирает и другую информацию о пользователе, включая адрес, телефон, организацию и город проживания.

Исследователь отметил, что эту атаку можно сделать ещё более опасной, собрав важные пользовательские данные, включая номер банковской карты и CVV код.

Стоит отметить, что Chrome отправляет предупреждение, когда используется автозаполнение для финансовых данных на сайтах без HTTPS шифрования. Чтобы избежать подобных проблем Куосманен рекомендует просто отказаться от автозаполнения, отключив его в настройках браузера.

К сожалению, сигнал иногда пропадает, а вам хотелось-бы во время его отсутствия почитать статью или посмотреть видео, на которое раньше не было времени. Именно поэтому Chrome for Android теперь позволит загружать видео и целые веб страницы для офлайн просмотра.

Таким образом, если вы нашли интересную заметку, вы можете сохранить её на смартфоне и затем прочитать, когда у вас будет свободное время. Также можно будет сохранять музыку и видео, однако каковы будут ограничения для этого, пока не ясно.

Кроме этого в версии Chrome 55 для системы Android увеличена производительность, исправлено потребление памяти и улучшена стабильность для более плавной работы. Также проведены изменения в интерфейсе контекстного поиска, появится возможность просмотра и обмена загрузками прямо в Chrome, без запуска сторонних приложений. В дополнение появилась орфографическая проверка вводимого текста.