Проект Mozilla заявил о намерении отказаться от незащищенного HTTP

Проект Mozilla заявил о намерении отказаться от незащищенного HTTP

Ричард Барнс (Richard Barnes), лидер команды, отвечающей за безопасность Firefox, объявил о намерении поэтапного ухода от поддержки незашифрованных коммуникаций с использованием протокола HTTP в пользу HTTPS.

По мнению Mozilla, в условиях современных реалий, повсеместный переход на использование шифрованных соединений является закономерным путём развития Web. При этом, для устаревшего контента Mozilla сохранит поддержку использования схемы "http://", но возможности для таких соединений будут ограничены.

Для продвижения HTTPS проект Mozilla намеревается постепенно сокращать функциональность, доступную для незашифрованных HTTP-соединений. Таким образом, возможность обращения к сайтам по HTTP будет сохранена, но доступные для таких сайтов web-технологии будут ограничены. В настоящее время планируется определить дату, начиная с которой некоторые добавляемые в браузер новые возможности станут доступны только при использовании HTTPS. Какие именно возможности будут блокироваться пока точно не определено, например, предлагается оставить доступ к новшествам, связанным с CSS и отрисовкой, но запретить возможность использования новых API, связанных с взаимодействием с оборудованием, сообщает opennet.ru.

Кроме того, для HTTP планируется поэтапно ограничить доступ к уже реализованным технологиям, которые могут привести к рискам, связанным с безопасностью и приватностью, в случае работы по незашифрованным каналам связи. В этом случает отмечается важность сохранения баланса между безопасностью и сохранением совместимости, т.е. важно не допустить нарушения работы существующих сайтов, работающих по HTTP. В качестве примеров приводится уже внедрённая для незащищённых сайтов практика запроса подтверждения при обращении к API доступа к камере или микрофону, а также предложения по ограничению области видимости незашифрованных Сookie.

Так как перевод всего интернета на HTTPS неподъёмная для одного проекта задача, Mozilla призывает подключиться к данной инициативе сообщество web-разработчиков, используя принимаемые в Firefox меры как сигнал для информирования, что движение в этой области уже началось. На официальном уровне планирует подготовить предложение для рассмотрения рабочей группой W3C WebAppSec, занимающейся продвижением web-стандартов, связанных с безопасностью web-приложений. Примечательно, что инициатива Mozilla по продвижению HTTPS не является единственной, в частности, консорциум W3C рассматривает возможность повышения безопасности в Web через повсеместное внедрение шифрования, комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры Интернет, признал атакой повсеместный мониторинг трафика, совет по архитектуре интернет заявил о необходимости решения проблемы с нарушением приватности пользователей Cети, правительство США работает над стандартом, обязывающих использовать на государственных сайтах и web-сервисах только HTTPS. 

Android-троян Glitch SPY превращает смартфоны в шпионский пульт

Исследователи обнаружили новую Android-платформу для удалённого доступа под названием Glitch SPY, которая распространяется через фейковый сайт аренды квартир и домов. Пользователю предлагают скачать приложение для бронирования и связи с владельцами жилья, а на деле подсовывают вредоносный APK.

Схема начинается с загрузчика Brokewell Android Loader. Он показывает вполне правдоподобный интерфейс сервиса аренды, просит разрешить установку из неизвестных источников, а затем незаметно разворачивает на устройстве Glitch SPY.

Главный рычаг управления — злоупотребление специальными возможностями Android (Accessibility Service). После выдачи этих прав троян получает почти полный контроль над смартфоном: может читать содержимое экрана, нажимать кнопки, выполнять жесты, подтверждать разрешения, взаимодействовать с экраном блокировки и помогать операторам проводить мошеннические операции прямо с устройства жертвы.

По данным Cyble, Glitch SPY поддерживает более 70 команд. Среди них есть, например, трансляция экрана, скриншоты, кейлоггинг, кража СМС и контактов, отслеживание геолокации, запись с камеры и микрофона, управление файлами, выполнение шелл-команд и изменение настроек администрирования устройства.

 

Отдельная неприятность — встроенный клиппер. Если пользователь копирует адрес криптокошелька, вредонос распознает популярные форматы Bitcoin, Ethereum, TRON и других сетей, после чего подменяет адрес на кошелек злоумышленников. Перевод вроде бы отправлен куда надо, но деньги уезжают совсем не туда.

Еще одна опасная функция — скрытый браузер на базе WebView. Атакующие могут открывать сайты, заполнять формы, нажимать элементы и выполнять JavaScript с IP-адреса жертвы и с ее активными сессиями. Для антифрода это выглядит куда убедительнее, чем вход с чужого устройства.

Исследователи также нашли админ-панели с брендингом Glitch SPY, что указывает на инфраструктуру билдера. Операторы могут менять название приложения, пакет, иконку, страницу, набор функций и уведомления в Telegram.

RSS: Новости на портале Anti-Malware.ru