�ݺ�ߣ

Развлекательная
социальная сеть
Одноклассники
2017
Что мы знаем про
вредоносные
расширения Хрома

0
История

1
Вредоносные расширения

6
Расширения в Хроме
https://developer.chrome.com/extensions/overview
- Manifest ﬁle
- Background pages
- Event pages
- Content Scripts

7
Что могут расширения
- Подписываться на события
- Выполнять код в контексте произвольного домена
- Изменять DOM
- chrome.* APIs
- Inline установка

8
Что могут плохие расширения
- Слушать ввод, собирать данные
- Выполнять код в контексте вашего домена
- Изменять интерфейс
- Изменять настройки браузера

9
В чем проблема
- Content Scripts => Same Origin Policy
- Вирус на js
- Плохо обнаруживаются антивирусами
- Не вызывают подозрений пользователя

10
Подмена рекламы в браузерах
Данные: https://security.googleblog.com/2015/05/new-research-ad-injection-economy.html
статистика Google, 2015
%
5.5

2
Content Security Policy

13
Отчеты о нарушении Content Security Policy

16
9.1. Vendor-speciﬁc Extensions and Addons
Policy enforced on a resource SHOULD NOT interfere with the operation of user-
agent features like addons, extensions, or bookmarklets. These kinds of features
generally advance the user’s priority over page authors, as espoused in [HTML-
DESIGN].
http://www.w3.org/TR/CSP3/#extensions
… we model extensions more or less as an application of the user's will, and … we
prioritize the user above the site. This means that the extension is explicitly allowed to
do things that the site owner would prefer that it not do.
https://bugs.chromium.org/p/chromium/issues/detail?id=634265

3
MutationObserver

18
MutationObserver
https://developer.mozilla.org/en-US/docs/Web/API/MutationObserver

19
ok.ru/alexandra.svatikova
linkedin.com/in/asvatikova/
alexandra.svatikova@corp.mail.ru
Спасибо

�ݺ�ߣ

«Вредоносные браузерные расширения и борьба с ними», Александра Сватикова (Одноклассники.ру)

More Related Content

«Вредоносные браузерные расширения и борьба с ними», Александра Сватикова (Одноклассники.ру)