Функция блокировки трекеров в Microsoft Edge больше всех бьет по Google

Функция блокировки трекеров в Microsoft Edge больше всех бьет по Google

Функция блокировки трекеров в Microsoft Edge больше всех бьет по Google

15 января 2020 года Microsoft обещает официальный релиз полностью переработанного браузера Edge для пользователей Windows и macOS. Корпорация особенно гордится функцией защиты от слежения и веб-трекеров (Tracking Prevention).

Изначально возможности Tracking Prevention появились в Internet Explorer 9 ещё в 2011 году. Тогда это было реализовано в виде простых текстовых файлов под названием Tracking Protection Lists (TPLs). Эти файлы допускали или блокировали сторонние запросы от отдельных доменов.

Принцип работы Tracking Prevention не претерпел больших изменений в Edge. Однако разработчики уделили внимание имплементации — она стала удобнее и сложнее.

Эксперты, проанализировавшие работу новой реализации Tracking Prevention, пришли к выводу, что она больше всего ударит именно по Google.

На данный момент техногигант не опубликовал официальную документацию, посвящённую Tracking Prevention, но уже известно, что пока не существует очевидного способа кастомизации функции. Например, отсутствует возможность заменить встроенные списки сторонними альтернативами.

Если вы пользуетесь предварительными билдами браузера Edge, можете найти функцию защиты от веб-трекеров на странице настроек — в разделе, посвящённом конфиденциальности и сервисам. Там можно включить или отключить Tracking Prevention, указать уровень блокировки трекеров и управлять исключениями.

По умолчанию Tracking Prevention включена, а настройки функции представляют собой сбалансированный вариант, подразумевающий блокировку потенциально опасных трекеров или скриптов отслеживания на незнакомых пользователю сайтах.

На компьютерах под управлением Windows 10 списки Trust Protection Lists располагаются  в папке профиля пользователя — %LocalAppData%\Microsoft\Edge Beta\User Data\Trust Protection Lists\. В этих файлах известные трекеры разделены на категории: рекламные, аналитические, снимающие цифровой отпечаток и принадлежащие социальным сетям.

С настройками по умолчанию Tracking Prevention в браузере Edge заблокировал в общей сложности 2318 трекеров, 552 из которых принадлежали доменам Google (23,8%). Вторым по количеству заблокированных скриптов отслеживания оказался Facebook — 3,8%.

Лидирующую позицию Google в этом вопросе специалисты объясняют бизнес-моделью интернет-гиганта: скрипты Google Analytics и Google AdSense установлены на огромном количестве ресурсов в Сети. Говорить о каком-либо заговоре против Google не приходится, подчёркивают исследователи.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru