Chrome-аддоны AVG, Microsoft передают данные по HTTP, хранят ключи в коде

Chrome-аддоны AVG, Microsoft передают данные по HTTP, хранят ключи в коде

Chrome-аддоны AVG, Microsoft передают данные по HTTP, хранят ключи в коде

Некоторые из самых загружаемых расширений для Google Chrome оказались настоящими «дырками» в вашей приватности. Исследователи из Symantec обнаружили, что десятки расширений передают данные через незащищённый HTTP и даже вшивают ключи доступа к API прямо в код.

Во-первых, часть расширений отправляют конфиденциальную информацию в открытом виде — то есть вообще без шифрования. Вот что может утечь:

  • посещаемые домены,
  • ID устройства,
  • операционная система,
  • телеметрия использования,
  • даже факт удаления расширения.

А теперь представьте, что вы сидите в кафе на публичном Wi-Fi. Кто угодно в той же сети может перехватить этот трафик — а в некоторых случаях и подменить его. Это классическая атака посредника (AitM).

Вот некоторые примеры из списка:

  • SEMRush Rank и PI Rank — отправляют данные на rank.trellian[.]com через обычный HTTP.
  • Browsec VPN (!) — передаёт запрос на browsec-uninstall... при удалении расширения.
  • MSN New Tab и MSN Homepage — сливают уникальный ID устройства на g.ceipmsn[.]com.
  • DualSafe Password Manager — отправляет данные о версии, языке браузера и типе использования на stats.itopupdate[.]com тоже по HTTP.

«Даже если пароли напрямую не передаются, тот факт, что менеджер паролей использует незащищённый трафик — уже вызывает серьёзные вопросы», — подчёркивает исследователь из Symantec Юаньцзин Го.

Symantec также нашла расширения, где разработчики просто оставили в коде:

  • ключи Google Analytics 4 (GA4),
  • ключи Microsoft Azure (для распознавания речи),
  • ключи AWS для загрузки в S3,
  • токены телеметрии и API ключи сторонних сервисов.

Среди таких расширений:

  • AVG Online Security, SellerSprite, Equatio, Microsoft Editor, Watch2Gether, Trust Wallet, TravelArrow и др.
  • Antidote Connector, использующее библиотеку InboxSDK с уже встроенными credentials. Проблема может касаться ещё более 90 расширений — их названия пока не раскрываются.

Symantec рекомендует удалить такие расширения, пока разработчики не исправят проблемы. Это не паранойя — любой, у кого есть доступ к сети, может перехватить данные. Это уже не гипотетическая угроза.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Microsoft убирает антивирусы из ядра Windows после сбоя CrowdStrike

Летний коллапс от CrowdStrike, который парализовал больницы, банки и даже самолёты, до сих пор у многих системных админов вызывает нервный тик. По всему миру — миллиарды убытков, а ведь вся эта катастрофа, по мнению экспертов, была вполне предотвратима.

В Microsoft, разумеется, сделали выводы. После масштабного сбоя компания собрала круглый стол по безопасности с участием CrowdStrike и других игроков рынка защитного ПО.

Результат — новая инициатива по безопасному развертыванию обновлений и важные архитектурные изменения в Windows. И вот теперь эти меры начинают воплощать в жизнь.

Безопасность без ядра?

Главная новость — Microsoft начала внедрять функции из так называемой Windows Resiliency Initiative. Уже в июле начнётся закрытое тестирование новой платформы безопасности для Windows, в которое попадут участники программы Microsoft Virus Initiative 3.0.

Самое важное изменение: сторонние драйверы безопасности (например, антивирусов) больше не будут работать в ядре системы. Их переместят в пользовательское пространство — туда же, где работают обычные приложения. Это сильно снизит риски системных сбоев — вроде того самого, что летом отправил тысячи машин в бесконечную перезагрузку.

Такой подход позволит разработчикам защитного ПО быстрее восстанавливаться после сбоев, а сами Windows-устройства станут надёжнее. Среди партнёров, поддержавших нововведения, — Bitdefender, ESET, SentinelOne, Trellix, Trend Micro, WithSecure и, конечно же, CrowdStrike.

Правда, не все готовы прыгать в новый поезд. Те же ESET и раньше высказывались осторожно: мол, доступ к ядру всё равно должен оставаться как минимум опцией. Сейчас они общаются с Microsoft «продуктивно», но по-прежнему без особого энтузиазма.

А где Sophos?

Заметное отсутствие в списке — компания Sophos. Её представители ещё раньше жёстко критиковали идею отказаться от доступа к ядру. По их мнению, только в «kernel space» можно обеспечить полноценную защиту на уровне системы. Хотя позднее они всё же допустили: да, надо бы снижать зависимость от драйверов, работающих в ядре. Но не любой ценой.

Быстрое восстановление и прощай BSOD

Кроме архитектурных изменений, Microsoft анонсировала и ряд фич, которые появятся в Windows 11 24H2:

  • Quick Machine Recovery (QMR) — система автоматического восстановления, которая не даст устройству впасть в бесконечный цикл перезагрузок. Теперь даже если обновление что-то сломает, Microsoft сможет «починить» систему через облако — без физического доступа к устройству.
  • Обновлённый «синий экран смерти» (BSOD) — теперь это просто «экран с неожиданной перезагрузкой», с белым текстом на чёрном фоне. Менее пугающе, согласитесь.
  • Меньше перезагрузок после обновлений — на устройствах с Windows 11 Enterprise можно будет ставить патчи без ребута чаще, чем раз в три месяца. Всё благодаря Windows Autopatch.

А что с безопасностью Windows 10?

Кстати, Microsoft также поделилась, как получить расширенные обновления безопасности для Windows 10 бесплатно — есть пара вариантов, но это уже другая история.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru