标签: Chrome

全球 50 多万用户或受到四种恶意 Chrome 扩展影响

外媒 1 月 16 日报道,美国网络安全公司 ICEBRG 发现了四种恶意 Chrome 扩展,用于执行点击欺诈或搜索引擎优化。目前受影响的用户数量已经超过 50 万 ,并且攻击者可能会利用该扩展进一步访问企业网络和用户信息。为了做好防护措施,ICEBRG 通知了荷兰国家网络安全中心(NCSC-NL)、美国计算机应急部署小组(US-CERT)以及 Google 安全浏览运营团队。 近日,ICEBRG 发现客户工作站到欧洲 VPS 提供商的出站流量出现了异常激增,其中包括一些全球主要组织的工作站。因此 ,ICEBRG 对该情况展开了调查。根据调查结果,四种恶意 Chrome 扩展的名称分别是: 1、Change HTTP Request Header(ppmibgfeefcglejjlpeihfdimbkfbbnm) 2、Nyoogle – Custom Logo for Google (ginfoagmgomhccdaclfbbbhfjgmphkph) 3、Lite Bookmarks (mpneoicaochhlckfkackiigepakdgapj) 4、Stickies – Chrome’s Post-it Notes (djffibmpaakodnbmcdemmmjmeolcmbae) 研究人员称这四种 Chrome 扩展允许攻击者以 JavaScript 代码的形式向用户浏览器发送恶意命令,但攻击者只能通过在后台加载一个网站以及点击广告来执行点击欺诈。 在媒体报道该事件时,除了 Nyoogle 之外其他三个恶意扩展已经从 Chrome 网上应用商店删除。不过尽管如此,许多用户仍然在其浏览器中加载了这些恶意扩展程序。 注意: 虽然 Chrome 网上应用商店删除了该恶意扩展,但是可能无法将其从受影响的主机中删除。此外,使用第三方 Chrome 扩展程序库可能仍然允许安装扩展程序。 目前 ICEBRG 已经发布了关于四种恶意 Chrome 扩展的详细报告,并建议用户检查浏览器以及删除其计算机的恶意扩展。 详细报告: <MALICIOUS CHROME EXTENSIONS ENABLE CRIMINALS TO IMPACT OVER HALF A MILLION USERS AND GLOBAL BUSINESSES> 消息来源:Bleeping Computer、Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Chrome 将移除 Public Key Pinning (PKP)支持

Google 宣布了从 Chromium/Chrome 中移除 Public Key Pinning (PKP)支持的计划。PKP 是防止中间人攻击和恶意 CA 的一种证书核查机制。Google 工程师给出的理由 PKP 普及率低和存在技术挑战。 Google 计划在明年 5 月 29 日发布 Chrome 67 正式版时移除对 PKP 的支持。这一计划尚未确定下来,用户仍然可以递交反对意见。根据调查,在 2016 年 3 月所有 HTTPS 网站部署 PKP 的比率为 0.09%,到 2017 年 8 月,部署率只提高到 0.4%。 稿源:solidot 奇客,封面源自网络

Google 公布 Chrome 不信任赛门铁克证书的时间表

因为发现赛门铁克签发了大量有问题的证书,Google 官方博客公布了 Chrome 浏览器不信任赛门铁克证书的时间表: 2017 年 10 月发布的 Chrome 62 将在 DevTools 中加入对即将不受信任的赛门铁克证书的警告; 2017 年 12 月 1 日,DigiCert 将接手赛门铁克的证书签发业务; 2018 年 4 月 17 日发布的 Chrome 66 将不信任 2016 年 6 月 1 日之前签发的证书; 2018 年 10 月 23 日发布的 Chrome 70 将停止信任赛门铁克的旧证书。 受影响的赛门铁克 CA 品牌包括 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL,几个独立运作密钥不受赛门铁克控制的次级 CA 得到了豁免,其中包括苹果和 Google。Google 建议使用赛门铁克证书的网站及时更新到受信任证书。 稿源:solidot奇客,封面源自网络;

Google Chrome 扩展开发者屡遭网络钓鱼攻击

Google 安全团队在许多 Chrome 扩展开发者成为钓鱼攻击目标后向他们发出安全警告。据悉,这波钓鱼攻击始于六月中旬,直到两大 Chrome 流行扩展 Copyfish 和 Web Developer 的开发者被窃取账号 ,攻击者推送更新在扩展中加入广告后才被人所熟知。 攻击者诱骗开发者的钓鱼邮件内容类似,都是伪装成来自 Google,通知扩展开发者违反了 Chrome Web Store 的规则,需要更新。当扩展开发者点击网址查看问题时他们会被要求用开发者账号登录,开发者在大意之下就可能会将账号泄漏给攻击者。 稿源:solidot奇客,封面源自网络;

Copyfish for Chrome 扩展遭网络钓鱼攻击

Chrome 和 Firefox 扩展 Copyfish 的开发人员发出安全警告,指出他们近期遭到针对性钓鱼攻击,即团队成员不小心在钓鱼页面输入密码。随后,攻击者劫持 Copyfish for Chrome 账号,将 Copyfish 转移到他们控制的账户,并在用户浏览的页面插入广告、释出恶意更新。 目前,Copyfish for Firefox 扩展并未受到影响。开发人员尝试联系 Google,但至今没有接触到任何能够提供帮助的研究人员。据悉,攻击者被认为来自俄罗斯圣彼得堡。 稿源:solidot奇客,封面源自网络;

Adobe 将于 2020 年停止开发和更新 Flash

Adobe 于 7 月 26 日宣布,计划终结 Flash 浏览器插件,并在 2020 年停止开发和分发这款插件。Adobe 建议内容创作者将 Flash 内容移植到 HTML5、WebGL 以及 WebAssembly 格式。Flash 和 Flash 播放器的消失并不会影响大多数用户,因为流行的浏览器早已经远离这种格式。从 macOS 是 和 Safari 10 开始,苹果已经默认禁用 Flash 插件,并将重点放在 HTML5 上,而苹果 iOS 设备从未支持过 Flash。 谷歌 Chrome 浏览器也从去年年中开始,降低 Flash 的重要性。不过对于国内的部分网站来说,Flash 依然很重要。Adobe Flash 自发布以来,就存在大量的严重安全漏洞,让 Mac 和 PC 用户暴露于危险之中。微软和苹果等厂商,一直与 Adobe 工作,并在第一时间推出安全更新。 苹果也在自己的 WebKit 博客上分享了 Adobe Flash 的新闻,并提到苹果正在与 Adobe 以及业界合作伙伴,一起将 Flash 转换为公开标准。2020 年前,Adobe Flash 会继续支持主要操作系统和浏览器,发布安全更新,维持系统和浏览器兼容性,根据情况推出新功能。 稿源:cnBeta,封面源自网络

新型钓鱼手段预警:你看到的 аррӏе.com 真是苹果官网?

研究人员发现一种“几乎无法检测”的新型钓鱼攻击,就连最细心的网民也难以辨别。黑客可通过利用已知漏洞在 Chrome、Firefox 与 Opera 浏览器中伪造显示合法网站域名(例如:苹果、谷歌或亚马逊等),窃取登录或金融凭证等敏感信息。 说到辨别钓鱼网站的最佳方式,我们最先想到的是检查地址栏并查看网址是否已开启 HTTPS,然而,如果浏览器地址栏显示的是“www.аррӏе.com”,你是不是 100% 确信它是苹果官网呢? △ 网址 www.аррӏе.com 是 Wordfence 安全专家为演示漏洞而创建的欺诈网址,实际为域名“epic.com ”。 Punycode 网络钓鱼攻击 Punycode 是一种供 Web 浏览器将 Unicode 字符转换为支持国际化域名( IDN )系统 ASCII( AZ,0-9 )有限字符集的特殊编码。例如,中文域名 “ 短.co ” 在 Punycode 中表示为“ xn--s7y.co ”。通常情况下,多数 Web 浏览器使用“ Punycode ”编码表示 URL 中的 Unicode 字符以防御 Homograph 网络钓鱼攻击。 研究人员表示,上图演示的漏洞依赖于 Web 浏览器仅将一种语言的 Punycode URL 作为 Unicode 的事实(如仅限中文或仅限日文),而对于域名包含多种语言字符的情况则无效。这一漏洞允许研究人员注册一个在所有存在漏洞的 Web 浏览器(如 Chrome、Firefox 与 Opera )上显示为 “ apple.com ” 的域名 xn—80ak6aa92e.com ,并绕过保护措施。 换句话说,你以为看到的是苹果官网 “apple.com”,实际上它是网站“xn—80ak6aa92e.com”,也就是“epic.com”。不过,经过小编们的大胆尝试发现,这一钓鱼网址在微信上并不管用。 △ 网址一模一样是吧?然而假网址“www.аррӏе.com” 在微信上不会显示蓝色链接 不过,大家可以放心,IE、Microsoft Edge、Safari、Brave 与 Vivaldi 浏览器上面并不存在这个漏洞。 Google 即将推出补丁,Mozilla 还在路上 据悉,研究人员已于今年 1 月向受影响浏览器厂商(包括 Google 与 Mozilla )报告此问题。目前,Mozilla 仍在讨论解决方案,而 Google 已在 Chrome Canary 59 中修复该漏洞并将于本月末伴随 Chrome Stable 58 发布提供该漏洞的永久性修复补丁。 对此,安全专家建议用户在 Web 浏览器中禁用 Punycode 支持,并对网络钓鱼域名加以识别的做法以暂时缓解此类攻击造成的影响。 Firefox 用户缓解措施(不适用于 Chrome 用户) Firefox 用户可按照以下步骤手动申请临时缓解措施: 1. 在地址栏中输入 about:config,然后按Enter键。 2. 在搜索栏中输入 Punycode; 3. 浏览器设置将显示参数 IDN_show_punycode,通过双击或右键单击选择 Toggle 的方式将值从 false 改为 true。 然而,Chrome 或 Opera 不提供手动禁用 Punycode 网址转换的类似设置,因此 Chrome 用户只能再等几周获取官方发布的浏览器最新版本。 知道创宇 404 安全专家表示,倘若攻击者利用这一漏洞结合钓鱼邮件发至重要企事业单位,很有可能导致重要信息外泄。对此,专家们建议广大网民访问重要网站时选择手动输入网址,不要轻易访问未知网站或电子邮件中提及的任何链接,以防中招。 原作者:Mohit Kumar,译者:青楚,译审:游弋、狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Siri 成为仅次于谷歌的第二大移动搜索引擎

据 Searchengineland 报道,科技市场研究公司 Fivesight Research 今天发布了 2017 年第一季度《 美国用户搜索偏好报告 》,发现苹果 Siri 成为仅次于谷歌之后的第二大移动“ 搜索引擎 ”。 Fivesight Research 对美国 800 名成年人进行调查,这些人中 iOS 和 Android 用户数量基本相当。研究显示,谷歌在移动搜索引擎领域依然处于遥遥领先地位,84% 的受访者承认使用谷歌进行搜索。在 Android 用户中,使用谷歌搜索引擎的人达 90%。而在 iPhone 用户中,谷歌也抢占了 78% 的份额。 图一:智能手机上优先使用的搜索引擎 可是在谷歌之后,苹果 Siri 被大多数受访者作为“优先使用的搜索引擎”,超过必应和雅虎。在 iPhone 用户中,13% 的人将 Siri 作为优先使用的搜索引擎。这个发现非常重要,因为它表明语音和虚拟助理正对传统“查询框”造成长期和潜在的破坏性影响。 图二:受访者使用虚拟助理的情况 Siri 还是现在被使用最广泛的虚拟助理,与使用 Google Now 的 Android 用户相比,使用 Siri 的 iOS 用户数量更多。Google Assistant 并未被列入调查之中。72% 的受访者表示,他们使用虚拟助理作为更传统移动搜索的补充。只有 16% 的 iPhone 用户称不使用虚拟助理,不使用虚拟助理的 Android 用户不到 40%。在使用虚拟助理的 iPhone 用户中,还有 10% 的人使用 Google Now,4% 的人使用微软小娜。在 Android 用户中,24% 的人使用谷歌自己的虚拟助理,10% 的人使用微软小娜,其余的人使用其他服务。 图三:智能手机上优先使用的移动浏览器 调查还显示,Chrome 依然是占据主导地位的移动浏览器,占 48% 市场份额,其次为 Safari(37%)。大约 14% 的 iPhone 用户将 Chrome 作为优先使用的浏览器。然而,Android 用户中使用非谷歌浏览器的情况更普遍,11% 的人选择使用微软浏览器,10% 使用其他浏览器。 稿源:cnBeta;封面源自网络

安装量最高 PC 程序排行出炉:Chrome 居首、Flash 播放器和 Java 均上榜

近日安全公司 Avast 发布了其全球安装量最高的 PC 程序排行榜,谷歌的 Chrome  浏览器位居榜首,二三名分别是Adobe Reader 阅读器和 Flash 播放器( Active X 版本),火狐浏览器和 Flash 插件随后。令人堪忧的是,许多PC用户使用着较老版本的火狐浏览器、Flash 或 Java 程序,极易遭受黑客攻击。 排行榜前十位完整榜单: 尽管大部分流行应用经常推出安全更新,但 Avast 指出相当比例的用户事实上并未安装软件的最新版本,使得大部分 PC 脆弱且容易遭受攻击。Avast 指出,使用率高、与安全性相关的关键应用中(如火狐、Flash 和 Java ),超过 52% 的版本是未及时更新的旧版本。用户长期忽视更新,或者新版本通常不能正常运行等原因,导致了此情况。过时的软件版本有大量漏洞为攻击者敞开后门。 稿源:cnBeta;封面源自网络

LastPass 存在漏洞允许攻击者窃取密码

近期,Google 安全专家 Tavis Ormandy 在 Chrome 和 Firefox 浏览器中发现 LastPass 密码管理扩展程序存在多个漏洞。目前,LastPass 安全专家已成功修复所有漏洞。 Lastpass 是一个优秀的在线密码管理器和页面过滤器,它采用强大的加密算法,允许自动登录多款浏览器。(百度百科) 2017 年 3 月 16 日,Ormandy 在 Firefox 版本的 LastPass 扩展(版本 3.3.2 )中发现了一个漏洞,但他并没有及时公开披露细节。随后,Ormandy 于3月21日紧接着披露了另一个影响 LastPass 的 Chrome 和 Firefox 版本漏洞并表示该漏洞不仅允许攻击者窃取用户密码,还可以在受害者启用二进制组件时远程调用( RPC )命令执行任意代码。据悉,该漏洞的传播是由于 websiteConnector.js 脚本内容未经代理服务器邮件认证,攻击者可以利用该漏洞访问内部 LastPass RPC 命令。此外,Ormandy 还发现另一个漏洞允许任何域的窃取密码,具体报告将于未来一段时间内公布。 目前,LastPass的安全专家已成功修复所有漏洞并提醒用户及时更新系统,防止数据信息的再次泄露。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接