Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"Вредоносные браузерные расширения и борьба с ними", Александра Сватикова

"Вредоносные браузерные расширения и борьба с ними", Александра Сватикова

OWASP Russia Meetup #6

47a3212bc9721c62f1135ead56569f17?s=128

OWASP Moscow

December 04, 2017
Tweet

Transcript

  1. Развлекательная социальная сеть Одноклассники 2017 Что мы знаем про вредоносные

    расширения Хрома
  2. Развлекательная социальная сеть Одноклассники 0 История

  3. 3

  4. 4

  5. Развлекательная социальная сеть Одноклассники 1 Вредоносные расширения

  6. 6 Расширения в Хроме https://developer.chrome.com/extensions/overview - Manifest file - Background

    pages - Event pages - Content Scripts
  7. 7 Что могут расширения - Подписываться на события - Выполнять

    код в контексте произвольного домена - Изменять DOM - chrome.* APIs - Inline установка
  8. 8 Что могут плохие расширения - Слушать ввод, собирать данные

    - Выполнять код в контексте вашего домена - Изменять интерфейс - Изменять настройки браузера
  9. 9 В чем проблема - Content Scripts => Same Origin

    Policy - Вирус на js - Плохо обнаруживаются антивирусами - Не вызывают подозрений пользователя
  10. 10 Подмена рекламы в браузерах Данные: https://security.googleblog.com/2015/05/new-research-ad-injection-economy.html статистика Google, 2015

    % 5.5
  11. Развлекательная социальная сеть Одноклассники 2 Content Security Policy

  12. 12

  13. 13 Отчеты о нарушении Content Security Policy

  14. 14 Content Security Policy

  15. 15 Ой

  16. 16 9.1. Vendor-specific Extensions and Addons Policy enforced on a

    resource SHOULD NOT interfere with the operation of user- agent features like addons, extensions, or bookmarklets. These kinds of features generally advance the user’s priority over page authors, as espoused in [HTML- DESIGN]. http://www.w3.org/TR/CSP3/#extensions … we model extensions more or less as an application of the user's will, and … we prioritize the user above the site. This means that the extension is explicitly allowed to do things that the site owner would prefer that it not do. https://bugs.chromium.org/p/chromium/issues/detail?id=634265
  17. Развлекательная социальная сеть Одноклассники 3 MutationObserver

  18. 18 MutationObserver https://developer.mozilla.org/en-US/docs/Web/API/MutationObserver

  19. 19 ok.ru/alexandra.svatikova linkedin.com/in/asvatikova/ alexandra.svatikova@corp.mail.ru Спасибо