Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"Вредоносные браузерные расширения и борьба с ними", Александра Сватикова

"Вредоносные браузерные расширения и борьба с ними", Александра Сватикова

OWASP Russia Meetup #6

47a3212bc9721c62f1135ead56569f17?s=128

OWASP Moscow

December 04, 2017
Tweet

More Decks by OWASP Moscow

Other Decks in Technology

Transcript

  1. Развлекательная социальная сеть Одноклассники 2017 Что мы знаем про вредоносные

    расширения Хрома
  2. Развлекательная социальная сеть Одноклассники 0 История

  3. 3

  4. 4

  5. Развлекательная социальная сеть Одноклассники 1 Вредоносные расширения

  6. 6 Расширения в Хроме https://developer.chrome.com/extensions/overview - Manifest file - Background

    pages - Event pages - Content Scripts
  7. 7 Что могут расширения - Подписываться на события - Выполнять

    код в контексте произвольного домена - Изменять DOM - chrome.* APIs - Inline установка
  8. 8 Что могут плохие расширения - Слушать ввод, собирать данные

    - Выполнять код в контексте вашего домена - Изменять интерфейс - Изменять настройки браузера
  9. 9 В чем проблема - Content Scripts => Same Origin

    Policy - Вирус на js - Плохо обнаруживаются антивирусами - Не вызывают подозрений пользователя
  10. 10 Подмена рекламы в браузерах Данные: https://security.googleblog.com/2015/05/new-research-ad-injection-economy.html статистика Google, 2015

    % 5.5
  11. Развлекательная социальная сеть Одноклассники 2 Content Security Policy

  12. 12

  13. 13 Отчеты о нарушении Content Security Policy

  14. 14 Content Security Policy

  15. 15 Ой

  16. 16 9.1. Vendor-specific Extensions and Addons Policy enforced on a

    resource SHOULD NOT interfere with the operation of user- agent features like addons, extensions, or bookmarklets. These kinds of features generally advance the user’s priority over page authors, as espoused in [HTML- DESIGN]. http://www.w3.org/TR/CSP3/#extensions … we model extensions more or less as an application of the user's will, and … we prioritize the user above the site. This means that the extension is explicitly allowed to do things that the site owner would prefer that it not do. https://bugs.chromium.org/p/chromium/issues/detail?id=634265
  17. Развлекательная социальная сеть Одноклассники 3 MutationObserver

  18. 18 MutationObserver https://developer.mozilla.org/en-US/docs/Web/API/MutationObserver

  19. 19 ok.ru/alexandra.svatikova linkedin.com/in/asvatikova/ alexandra.svatikova@corp.mail.ru Спасибо