Тихая установка: в Chromium нашли баг для скрытой подмены расширений
Главная » Новости
SECURITM — система управления информационной безопасностьюSECURITM — система управления информационной безопасностью. Сократите расходы, автоматизируйте проверку соответствия требованиям и сведите подготовку к аудиту до 2 дней. Единая система для рисков, уязвимостей, активов и комплаенса с AI-ассистентом, конструктором документов, ГОСТ 57580, КИИ, ПДн, ГИС и поддержкой других регуляторных документов.→ Ознакомиться
Реклама. ООО «СЕКЪЮРИТМ». ИНН 7820074059, 16+

Тихая установка: в Chromium нашли баг для скрытой подмены расширений

Екатерина Быстрова 25 Сентября 2025 - 09:02
...
Тихая установка: в Chromium нашли баг для скрытой подмены расширений

Исследователи нашли новый способ тихо устанавливать свои расширения в Chrome и других браузерах на базе Chromium. И всё это без лишних предупреждений для пользователя. Фокус в том, как браузеры хранят настройки аддонов.

Обычно для контроля используются специальные JSON-файлы в AppData, где зашиты установленные расширения и проверочные коды (MAC). Но учёные показали, что эти проверки можно обойти всего одной аккуратной записью на диск.

Метод работает так: сначала атакующий вычисляет ID нужного расширения, потом вытаскивает из ресурсов браузера секретный ключ для подписи и генерирует правильные коды проверки.

После чего остаётся переписать настройки — и браузер послушно запускает «левое» расширение при старте. Причём никаких флагов в командной строке или скачиваний из магазина Chrome не нужно.

 

Отдельная хитрость — так называемый «extension stomping»: если локальное расширение имеет тот же ID, что и официальное из Chrome Web Store, то приоритет получит именно локальная версия. А это прямой путь для маскировки под разрешённые админами плагины.

 

Даже групповые политики в доменной сети не спасают: их можно подделать или просто удалить ключи в реестре (HKCU\Software\Policies\Google\Chrome).

Для атакующих это означает тихую и надёжную точку закрепления в системе, а для защитников — новые головные боли. Эксперты советуют мониторить изменения файлов настройки, проверять переключения режима разработчика и следить за подозрительными правками в реестре.

В итоге исследование показало слабое место всей архитектуры Chromium: статический HMAC-ключ и доступность файлов для записи. Чтобы закрыть дыру, придётся выносить проверки глубже в систему или усиливать шифрование на уровне ОС.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

56% компаний в 2025 году увеличили бюджеты на киберзащиту на 20-40%
Екатерина Быстрова 26 Сентября 2025 - 13:34
Утечки информацииСоответствие законодательству РФ Малый и средний бизнесКорпорации Соответствие требованиям регуляторов K2ТехPositive Technologies
56% компаний в 2025 году увеличили бюджеты на киберзащиту на 20-40%

Кибербезопасность стала одной из главных тем для российского бизнеса. Как показало исследование К2 Кибербезопасность (ИБ-подразделение К2Тех) и Positive Technologies, больше половины крупных компаний в 2025 году подняли свои бюджеты на защиту данных — в среднем на 20–40%.

Интересно, что 49% ИТ- и ИБ-руководителей отметили: за последние два года заметно вырос интерес к этой теме со стороны генеральных директоров.

Почему так произошло?

  • 61% респондентов считают, что всё дело в регуляторике: президентские указы №166 и №250, новые штрафы за утечки персональных данных и закон о защите КИИ.
  • 25% говорят о внутренних причинах — собственных инцидентах или росте осведомлённости сотрудников.
  • И только 14% связывают изменения с внешними факторами: трендами рынка, давлением конкурентов или требованиями партнёров.

 

Как компании меряют эффективность защиты? На первом месте — отсутствие утечек и критичных инцидентов (67%). Далее идут успешное прохождение аудитов (55%) и соблюдение требований закона (37%).

Самыми болезненными угрозами для бизнеса остаются утечки персональных данных (82%) и другой конфиденциальной информации (75%) — они грозят не только штрафами, но и долгосрочными репутационными потерями.

 

«Сегодня защита данных — это не только техника, но и условие устойчивости бизнеса. Всё чаще компании прибегают к кибериспытаниям, чтобы проверить свою реальную готовность к атакам», — отметил Вадим Католик, руководитель направления защиты данных и приложений в К2 Кибербезопасность.

По данным опроса, 69% крупных компаний уже используют два и более решений для защиты конфиденциальных данных. Но проблема в том, что разные системы охраняют разные люди, и целостной картины безопасности это не даёт.

«Поэтому рынок движется к комплексным платформам класса Data Security Platform. Такие решения объединяют разные технологии и позволяют защищать данные централизованно, независимо от того, где они хранятся — в базах, файловых хранилищах или облаках», — добавил Виктор Рыжков, руководитель развития бизнеса по защите данных в Positive Technologies.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Правительство за исключение адресов физлиц из реестра операторов ПДн
Новость
Правительство за исключение адресов физлиц из реестра операт...
РЕД СОФТ поддержал переход на российские TLS-сертификаты с ECDSA
Новость
РЕД СОФТ поддержал переход на российские TLS-сертификаты с E...
Linx Cloud запустил сервис по обучению сотрудников основам ИБ
Новость
Linx Cloud запустил сервис по обучению сотрудников основам И...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.