«Вредоносные браузерные расширения и борьба с ними»,...

Report

Post on 11-Apr-2017

2.994 Views

Category:

Internet

2 Downloads

Preview:

Click to see full reader

TRANSCRIPT

Развлекательная социальная сетьОдноклассники

2017

Что мы знаем про вредоносные

расширения Хрома

Развлекательная социальная сетьОдноклассники

0

История

3

4

Развлекательная социальная сетьОдноклассники

1

Вредоносные расширения

6 Расширения в Хроме

https://developer.chrome.com/extensions/overview

- Manifest file

- Background pages

- Event pages

- Content Scripts

https://developer.chrome.com/extensions/overview

7 Что могут расширения

- Подписываться на события

- Выполнять код в контексте произвольного домена

- Изменять DOM

- chrome.* APIs

- Inline установка

8 Что могут плохие расширения

- Слушать ввод, собирать данные

- Выполнять код в контексте вашего домена

- Изменять интерфейс

- Изменять настройки браузера

9 В чем проблема

- Content Scripts => Same Origin Policy

- Вирус на js

- Плохо обнаруживаются антивирусами

- Не вызывают подозрений пользователя

10 Подмена рекламы в браузерах

Данные: https://security.googleblog.com/2015/05/new-research-ad-injection-economy.html

статистика Google, 2015

%5.5

https://security.googleblog.com/2015/05/new-research-ad-injection-economy.html

Развлекательная социальная сетьОдноклассники

2

Content Security Policy

12

13 Отчеты о нарушении Content Security Policy

14 Content Security Policy

15 Ой

16

9.1. Vendor-specific Extensions and AddonsPolicy enforced on a resource SHOULD NOT interfere with the operation of user-agent features like addons, extensions, or bookmarklets. These kinds of features generally advance the user’s priority over page authors, as espoused in [HTML-DESIGN].

http://www.w3.org/TR/CSP3/#extensions

… we model extensions more or less as an application of the user's will, and … we prioritize the user above the site. This means that the extension is explicitly allowed to do things that the site owner would prefer that it not do.

https://bugs.chromium.org/p/chromium/issues/detail?id=634265

http://www.w3.org/TR/CSP3/#extensions
https://bugs.chromium.org/p/chromium/issues/detail?id=634265

Развлекательная социальная сетьОдноклассники

3

MutationObserver

18 MutationObserver

https://developer.mozilla.org/en-US/docs/Web/API/MutationObserver

https://developer.mozilla.org/en-US/docs/Web/API/MutationObserver

19

ok.ru/alexandra.svatikovalinkedin.com/in/asvatikova/

alexandra.svatikova@corp.mail.ru

Спасибо

https://ok.ru/alexandra.svatikova
https://www.linkedin.com/in/asvatikova/
mailto:alexandra.svatikova@corp.mail.ru?subject=

top related

Отчет mcafee labs Об угрО зах report q4...
Documents
Браузерные и социальные игры...
Technology
Браузерные api обмена данными:...
Internet
Многопользовательские...
Technology
defcon moscow #0x0a - sergey golovanov...
Technology
internet security - eset...
Documents
avira antivir personal – free antivirus · 9.2...
Documents
Надир Хабдулин...
Documents
Аудитория Одноклассники.ру
Business
УРОК 6 ВРЕДОНОСНЫЕ...
Documents
push4site - браузерные push уведомления...
Internet
Антон Волков (alternativaplatform) -...
Entertainment & Humor
Александр Рысь: Браузерные пуш...
Marketing
e ? d p bЯ АНТИВИРУСНАЯ ЗАЩИТА...
Documents
rus: Безопасность детей в...
Education
Поисковая система...
Documents
Браузерные помощники...
Software
Вредоносные программы В...
Documents
Медиа –...
Documents
Вредоносные программы В...
Documents