Google Chrome веб-браузер является наиболее широко используемым пользователями во всем мире, фактически, статистика на конец прошлого года показывает, что более 65% пользователей Интернета используют этот браузер. Далеко у нас есть другие браузеры, такие как Firefox или Сафари для Apple компьютеры. Однако в последнее время в браузере Google появляются более серьезные уязвимости, почему так? Почему раньше не было столько недостатков безопасности, а теперь есть? Сегодня в этой статье мы собираемся объяснить вам это.
Появляется все больше уязвимостей
В блоге безопасности Google мы находим все больше и больше недостатков безопасности в браузере Chrome, кажется, что было довольно значительное увеличение найденных недостатков безопасности, и то, как киберпреступники используют преимущества для запуска эксплойтов и пытаются заразить пользователей. пользователи. Однако, как они комментируют в официальном блоге безопасности, это не так.
Основная причина, по которой Chrome теперь имеет больше недостатков безопасности, заключается в том, что он имеет большую видимость для злоумышленников , на самом деле это хорошо, потому что это означает, что они могут реагировать на эти уязвимости с помощью исправлений намного быстрее, чем раньше, с целью защиты своих пользователей. Еще несколько лет назад уязвимости в Chrome не имели такой заметности, хотя может показаться, что ошибок и не было, они были, но были «спрятаны». Сейчас это в корне изменилось и позволяет Google решать их намного быстрее, кроме того, они еще и узнают, как действуют настоящие злоумышленники.
Команда Google Project Zero публично отслеживала все недостатки безопасности нулевого дня, то есть неизвестные уязвимости, которые злоумышленники используют в своих интересах. На следующем графике вы можете увидеть основные веб-браузеры и связанные с ними недостатки безопасности, уделив особое внимание ныне несуществующему Flash, а также WebKit, хотя они не являются браузерами, они были или являются частью браузеров в очень важном смысле.
Как вы видели, в период с 2015 по 2018 год в Google Chrome не было недостатков безопасности, что невозможно. Команда не обнаружила 0-day за эти годы, но это не означает, что их не было и что они были скрытно использованы киберпреступниками. По состоянию на 2019 год недостатки безопасности в Chrome очень сильно выросли, но это потому, что они просто стали более заметными, чем раньше, то есть с 0-day больше прозрачности.
Еще одна причина, по которой прокомментировали официальные лица Google, заключается в том, что Chrome продолжает расти и увеличивать свою долю использования, а это означает, что киберпреступники больше внимания уделяют этому веб-браузеру, поскольку он может затронуть больше потенциальных жертв. Киберпреступники всегда хотят делать деньги, и их цели стараются быть очень многочисленными, чтобы нанести как можно больший ущерб. Нет смысла тратить много ресурсов на редко используемый веб-браузер, ведь потенциальных жертв будет немного. Мы также должны иметь в виду, что до 2019 года Flash всегда подвергался атакам, потому что это было программное обеспечение, которое было настоящей подделкой нулевого дня, и с его исчезновением киберпреступники больше сосредоточились на Chrome.
Мы также должны иметь в виду, что раньше для компрометации веб-браузера требовался только один 0-day сбой, теперь необходимо как минимум два. Первый сбой будет служить для выполнения кода, а другой сбой заставит этот код покинуть песочницу, используемую Chrome, так что это «откармливает» статистику. Наконец, браузер Chrome намного сложнее, чем раньше, и это вызывает ошибки программирования, а количество возможных 0-day выросло, чтобы немного смягчить эту проблему, они продолжают улучшать свою песочницу, чтобы изолировать все веб-страницы.
Таким образом, причины, по которым Chrome теперь имеет больше недостатков безопасности, заключаются в следующем:
- Повышение прозрачности при информировании пользователей об ошибках безопасности нулевого дня.
- Эволюция злоумышленников, они отказались от Flash, чтобы сосредоточиться на популярности Chrome.
- Требуется по крайней мере две ошибки безопасности вместо одной ошибки, чтобы поставить под угрозу процесс рендеринга и песочницу, так что это умножает статистику. Также возможно, что несколько отказов может потребоваться объединить в цепочку для достижения одного шага.
- Более сложное программное обеспечение и больше возможных ошибок программирования.
Хотя появляется все больше и больше ошибок, команда Chrome активно участвует в нескольких проектах, направленных на обеспечение максимально возможной безопасности:
- Улучшена изоляция веб-сайтов, особенно на Android.
- Песочница кучи: предотвращает использование злоумышленниками ошибок JIT-компиляции JavaScript.
- MiraclePtr и *Scan проекты, чтобы избежать использования самых больших ошибок процесса браузера.
- Пишите части Chrome с помощью безопасных для памяти языков программирования. Обычно это составляет до 70% ошибок безопасности, которые можно использовать.
- Методы устранения ошибок нулевого дня.
Как видите, хотя количество нулевых уведомлений от Chrome увеличилось, это не значит, что их не было раньше, просто они не передавались.