ИБ-эксперты и бизнес критикуют создание единого оператора наружной рекламы

Олеся Афанасьева 27 Июля 2022 - 13:49

...

ИБ-эксперты и бизнес критикуют создание единого оператора наружной рекламы

Поправки в законопроект “О рекламе” предусматривают создание единого оператора цифровой наружной рекламы. Он сможет размещать конструкции по всей стране, не согласовывая действия с местными властями. Инициаторы прикрываются темой ИБ, хотя эксперты видят тут больше уязвимостей, чем пользы.

В качестве одной из главных причин необходимости принятия законопроекта “О рекламе” авторы инициативы используют тезис по обеспечению информационной безопасности. При этом законотворцы не приводят ни одного реального примера взлома цифровых рекламных конструкций или публикации запрещенных сведений через объявления.

"Если рассматривать такой подход только с точки зрения безопасности, то объедение всего под одним "крылом" проблему не решает и сильно ничем не поможет, так как интерес к единой системе просто возрастет многократно, а сил на её защиту будет положено не меньше”, — комментирует новость для Anti-Malware.ru независимый эксперт по информационный безопасности Константин Родин.

Естественная "сегментация" требует более ответственного отношения каждого из операторов к безопасности, но в целом, по отсутствию громких историй, выглядит так, что они пока с этим справляются, продолжает эксперт.

“Намного важнее посмотреть на то, какой сейчас общий подход к обеспечению ИБ в этой сфере, и если уж проблема стоит действительно так остро, то необходимы как минимум общие рекомендации и список мер по защите таких объектов, а не попытка найти одного ответственного. Это выглядит более простым и эффективным решением", — резюмирует Родин.

Поправки в законопроект “О рекламе” были приняты Госдумой в первом чтении 15 июля. Документ будет регулировать 4,5 тыс. рекламных поверхностей в стране. Автором поправок стал депутат-единоросс Артем Кирьянов, представляющий Новгородскую область.

Согласно законопроекту, единый оператор сможет размещать рекламные конструкции по всей стране, не согласовывая действия с муниципальными властями, и заключать договоры на размещение рекламы на 30 лет без торгов. Другие участники рынка будут вынуждены покупать у него площадки. В пояснительной записке к документу указывается, что законопроект разработан “в целях обеспечения равных условий распространения цифровой рекламы, нивелирования последствий ограничительных мер в отношении Российской Федерации со стороны недружественных иностранных государств и их объединений и защиты национальных интересов государства”.

Сейчас законопроект находится в стадии внесения поправок, на которую предусмотрели 30 дней. Накануне его уже раскритиковала ФАС, отметив, что принятие закона в таком виде ухудшит положение всех участников рынка цифровой рекламы. Сегодня “Ъ” пишет, что против создания единого оператора наружной рекламы выступили и предприниматели в Татарстане. Такой вариант грозит “крахом рынка наружной рекламы” в Татарстане и потерями для бюджета республики в размере около 300 млн руб.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: