it-swarm-eu.dev

Můžete získat virus pouhým navštěvováním webových stránek v Chromu?

Nedávno jsem četl Google Chrome: Konec stahování z disk . Je pravda, že v prohlížeči Google Chrome jsou historie stažených z disku?

Takže pokud mám odkaz (ze spamového e-mailu), mohu kliknout pravým tlačítkem >> open in new incognito window >> a máte 100% jistotu, že v mém systému nedochází k žádnému viru/poškození?

Zpočátku jsem se zeptal na tuto otázku na https://webapps.stackexchange.com/questions/15209/anonymous-links-in-email/15211 , ale nedostávám dobrou odpověď (a kromě toho odpovědi jsou zaměřeny na phishingové weby, zatímco moje otázka je zaměřena na „virové weby“).

43
Pacerier

Připouští se, že k útokům s automatickým stahováním dochází pouze díky interakci uživatele, jako tomu bylo například v případě viru HDD Plus , kdy návštěvníci napadeného webu museli alespoň dvakrát kliknout na bannery rad.msn.com.

Ve skutečnosti však došlo k útokům s automatickým stahováním, které úspěšně běží na IE, Safari, Chrome a Firefox bez nutnosti interakce uživatele. Například CVE-2011-0611 = byla 0denní chyba zabezpečení do 13. dubna 2011 (což znamená krátkou chvíli předtím, než jste položili tuto otázku). Byla použita k infikování domovské stránky webu Human Right Watch ve Velké Británii. Infikovaná stránka = obsahuje nepoctiví <script src=newsvine.jp2></script> element. To triky prohlížeče do ukládání do mezipaměti a spuštění newsvine.jp2 jako kód JavaScript. Byl to útok mezipaměti typu drive-by, což je pouze případ útoků typu drive-by download. Ukládání do mezipaměti je úspěšné, ale soubor nelze spustit jako JavaScript, protože se ve skutečnosti jedná o přejmenovaný škodlivý spustitelný soubor, který odpovídá backdoor z rodiny pincav .

Další nepoctivý prvek skriptu nalezený na infikované stránce je <script src="/includes/googlead.js"></script>, které na rozdíl od většiny útoků s automatickým stahováním načte místní .js soubor. Kód JavaScript v googlead.js vytvoří prvek iframe, který provádí zneužití SWF z domény ovládané útočníky.

Ve stejném roce jste se zeptali na tuto otázku, byl zde další příklad útoku s automatickým stahováním, z něhož nebyl žádný prohlížeč bezpečný, pokud v té době spustili zranitelnou verzi JRE ( CVE-2011-3544) ). Tisíce návštěvníků domovské stránky Amnesty International ve Velké Británii tak byly infikovány malwarem Trojan Spy-XR . Útoky pokračovaly do června 2011 , takže později poté, co jste položili tuto otázku: Google Chrome to nebylo bezpečné).

O něco více než o dva roky později po této otázce 24. října 201 , slavný php.net Webové stránky infikovaly své návštěvníky útokem ke stažení pomocí skryté iframe značky. Útok se týkal také Google Chrome.

Také jste zmínili Google Chrome by mohl být tak bezpečný kvůli jeho mechanismu karantény: dobře, všechny prohlížeče jsou karantény, nejen Google Chrome, ale stále jsou náchylné řídit útoky stahování kvůli jejich vlastním zranitelnosti nebo zranitelnosti pluginů nainstalovaných v nich.

10
user45139

Krátká odpověď: Ano, virus můžete získat pouze tak, že navštívíte web v Chrome nebo jakýkoli jiný prohlížeč), aniž byste potřebovali interakci uživatele ( demonstrace videa ). s Chrome nejste 100% v bezpečí - a pravděpodobně nikdy nebudete s žádným prohlížečem, ale Chrome se mu blíží a komunitě výzkumu bezpečnosti) Zdá se, že souhlasí s tím, že v tuto chvíli je to nejbezpečnější prohlížeč, který můžete použít.

Dlouhá odpověď: Chrome je v současné době nejbezpečnějším prohlížečem, který existuje v systému Windows, a to díky technikám karantény, které přidávají k zabezpečení. Dobrý popis této karantény je zde: http://blog.chromium.org/2008/10/new-patach-to-browser-security-google.html , i když trochu datované. Novější a technická je zde: http://dev.chromium.org/developers/design-documents/sandbox

Obecnou myšlenkou je, že škodlivý web bude muset použít dva samostatné zneužití k dosažení spuštění kódu ve vašem počítači: První využívá prohlížeč, druhý využívá sanbox. Ukázalo se, že je to velmi obtížné - nikdy se to nestalo.

Vaše otázka přichází na pěkné načasování: Před týdnem bezpečnostní výzkumná společnost VUPEN tvrdila, že porušila chrome karanténa) a zveřejnila následující oznámení: http://www.vupen.com /demos/VUPEN_Pwning_Chrome.php Pokud se díváte na video, uvidíte, že kromě návštěvy škodlivé adresy URL nebyla nutná žádná interakce uživatele a z ničeho nic se objevila ukázková aplikace (místo toho to mohl být virus). Popis útoku Ukázalo se, že se mýlí (ale na jednoduchých uživatelích to moc nezáleží): Samotná karanténa nebyla porušena. Ukázalo se, že VUPEN využil chybu v Adobe Flash Player, což je plugin, který nainstalovali téměř všichni - a tento plugin nebyl Odpovědí Google je, že se rychle vyvíjejí a vyvíjejí se tak, aby tento plugin byl nakonec v dalších verzích karantény.

Abychom to shrnuli: Jak jste viděli ve videu, nikdy si nemůžete být stoprocentně jistí, že jste v bezpečí, takže buďte opatrní, neotevírejte odkazy, které nevíte, kam směřují, nebo nedůvěřujete webům.

Sidenote: NSA nedávno zveřejnil dokument označující „Best Practices“ pro zabezpečení uživatelů na internetu: Mezi nimi je doporučení používat prohlížeč, který má karanténu.

Zde je zpráva: http://www.nsa.gov/ia/_files/factsheets/Best_Practices_Datasheets.pdf

Další sidenote: Internet Explorer 9 je inzerován jako mající karanténu, ale vědci v oblasti bezpečnosti souhlasí s tím, že není správně implementován a prokázal úspěšné útoky proti němu.

A třetí: Okno inkognito nemá nic společného s antivirovou ochranou, ale může být užitečné v určitých třídách útoků, kde je cílem ukradení souborů cookie nebo podobně, protože odděluje instance prohlížeče a izoluje dostupné dostupné informace.

Nakonec existují technologie, které nabízejí lepší ochranu, jako je sandboxie a spuštěné prohlížeče ve virtuálních strojích.

36
john

Nemyslím si, že můžeme říci, že stahování za jízdy jsou historie (pokud používáte Chrome). Chrome implementuje pískovací box , ale není možné uniknout uzavřenému procesnímu prostoru. Pískový box a bezpečné prohlížení pouze snižují pravděpodobnost úspěšnosti útočníka.

10
Ben