Почему в браузере Chrome больше недостатков безопасности, чем раньше

Google Chrome веб-браузер является наиболее широко используемым пользователями во всем мире, фактически, статистика на конец прошлого года показывает, что более 65% пользователей Интернета используют этот браузер. Далеко у нас есть другие браузеры, такие как Firefox или Сафари для Apple компьютеры. Однако в последнее время в браузере Google появляются более серьезные уязвимости, почему так? Почему раньше не было столько недостатков безопасности, а теперь есть? Сегодня в этой статье мы собираемся объяснить вам это.

Почему в браузере Chrome больше недостатков безопасности, чем раньше

Появляется все больше уязвимостей

В блоге безопасности Google мы находим все больше и больше недостатков безопасности в браузере Chrome, кажется, что было довольно значительное увеличение найденных недостатков безопасности, и то, как киберпреступники используют преимущества для запуска эксплойтов и пытаются заразить пользователей. пользователи. Однако, как они комментируют в официальном блоге безопасности, это не так.

Основная причина, по которой Chrome теперь имеет больше недостатков безопасности, заключается в том, что он имеет большую видимость для злоумышленников , на самом деле это хорошо, потому что это означает, что они могут реагировать на эти уязвимости с помощью исправлений намного быстрее, чем раньше, с целью защиты своих пользователей. Еще несколько лет назад уязвимости в Chrome не имели такой заметности, хотя может показаться, что ошибок и не было, они были, но были «спрятаны». Сейчас это в корне изменилось и позволяет Google решать их намного быстрее, кроме того, они еще и узнают, как действуют настоящие злоумышленники.

Команда Google Project Zero публично отслеживала все недостатки безопасности нулевого дня, то есть неизвестные уязвимости, которые злоумышленники используют в своих интересах. На следующем графике вы можете увидеть основные веб-браузеры и связанные с ними недостатки безопасности, уделив особое внимание ныне несуществующему Flash, а также WebKit, хотя они не являются браузерами, они были или являются частью браузеров в очень важном смысле.

Как вы видели, в период с 2015 по 2018 год в Google Chrome не было недостатков безопасности, что невозможно. Команда не обнаружила 0-day за эти годы, но это не означает, что их не было и что они были скрытно использованы киберпреступниками. По состоянию на 2019 год недостатки безопасности в Chrome очень сильно выросли, но это потому, что они просто стали более заметными, чем раньше, то есть с 0-day больше прозрачности.

Еще одна причина, по которой прокомментировали официальные лица Google, заключается в том, что Chrome продолжает расти и увеличивать свою долю использования, а это означает, что киберпреступники больше внимания уделяют этому веб-браузеру, поскольку он может затронуть больше потенциальных жертв. Киберпреступники всегда хотят делать деньги, и их цели стараются быть очень многочисленными, чтобы нанести как можно больший ущерб. Нет смысла тратить много ресурсов на редко используемый веб-браузер, ведь потенциальных жертв будет немного. Мы также должны иметь в виду, что до 2019 года Flash всегда подвергался атакам, потому что это было программное обеспечение, которое было настоящей подделкой нулевого дня, и с его исчезновением киберпреступники больше сосредоточились на Chrome.

Мы также должны иметь в виду, что раньше для компрометации веб-браузера требовался только один 0-day сбой, теперь необходимо как минимум два. Первый сбой будет служить для выполнения кода, а другой сбой заставит этот код покинуть песочницу, используемую Chrome, так что это «откармливает» статистику. Наконец, браузер Chrome намного сложнее, чем раньше, и это вызывает ошибки программирования, а количество возможных 0-day выросло, чтобы немного смягчить эту проблему, они продолжают улучшать свою песочницу, чтобы изолировать все веб-страницы.

Критическая ошибка Evitar в Chrome

Таким образом, причины, по которым Chrome теперь имеет больше недостатков безопасности, заключаются в следующем:

  1. Повышение прозрачности при информировании пользователей об ошибках безопасности нулевого дня.
  2. Эволюция злоумышленников, они отказались от Flash, чтобы сосредоточиться на популярности Chrome.
  3. Требуется по крайней мере две ошибки безопасности вместо одной ошибки, чтобы поставить под угрозу процесс рендеринга и песочницу, так что это умножает статистику. Также возможно, что несколько отказов может потребоваться объединить в цепочку для достижения одного шага.
  4. Более сложное программное обеспечение и больше возможных ошибок программирования.

Хотя появляется все больше и больше ошибок, команда Chrome активно участвует в нескольких проектах, направленных на обеспечение максимально возможной безопасности:

  • Улучшена изоляция веб-сайтов, особенно на Android.
  • Песочница кучи: предотвращает использование злоумышленниками ошибок JIT-компиляции JavaScript.
  • MiraclePtr и *Scan проекты, чтобы избежать использования самых больших ошибок процесса браузера.
  • Пишите части Chrome с помощью безопасных для памяти языков программирования. Обычно это составляет до 70% ошибок безопасности, которые можно использовать.
  • Методы устранения ошибок нулевого дня.

Как видите, хотя количество нулевых уведомлений от Chrome увеличилось, это не значит, что их не было раньше, просто они не передавались.