Раздел:
Фишинг

Уязвимости в плагинах и надстройках для браузеров

Уязвимости в плагинах и надстройках для браузеров

В прошлый раз мы рассмотрели возможные уязвимости в самих браузерах и обещали в следующей раз подробнее остановится на уязвимостях в различных приложениях для этого софта. Об этом и пойдет сейчас речь.


Конечно, наиболее надежный вариант – это не пользоваться в принципе различными сторонними плагинами для браузера. К сожалению, сегодня, в эпоху web 2.0 технологий, это практически невозможно. Отключив поддержку JavaScript и Flash, посещение очень многих сайтов станет невозможным, и практически всех – проблематичным, т.к. сейчас невозможно представить себе качественный сайт, созданный абсолютно без использования этих технологий. А значит, есть необходимость использовать плагины, которые позволяют активировать этот функционал.


Что же нужно помнить при использовании этих надстроек? Прежде всего, необходимо свести количество используемых плагинов к минимуму. Очевидно, что чем больше сторонних приложений вы установите в своей программе, тем больше вероятность, что в одном из них найдется уязвимость, которая позволит злоумышленнику получить доступ к вашим логинам и паролям. Поэтому определите для себя небольшой круг функций, который жизненно необходим вам при работе в Интернете, и не гонитесь за «тюнингом» браузера.


Кстати, браузер, перегруженный плагинами, не только будет уязвим к хакерским атакам, но и будет сильно замедлять скорость работы вашего Интернет-соединения.


Во-вторых, скачивайте обновления для плагинов только с официальных сайтов. Очень многие сайт предлагают загрузить обновления для утсановленных плагинов, перенаправляя при этом пользователя на фишинговый сайт, откуда будет скачано не обновление, а вредоносная программа. Обращайте внимание на адресную строку, откуда предлагается скачать патч – если вы собираетесь обновить Adobe Flash Player, то скачка файла должна проходить с сайта adobe.com, но ни в коем случае – не с abobe.ru.


Также внимательным необходимо быть, если вместо сайта открывается страница или баннер с «предупреждением» типа «Ваш браузер\флеш-плеер\яваскрипт устарели, установите обновление». Очень часто таким приемом пользуются мошеннические сайты, особенно при их посещении с мобильного устройства.


В третьих, отключайте сторонние плагины, если посещаете потенциально вредоносные сайты. Иногда бывают ситуации, когда есть необходимость все же посетить сайт, который может нанести вред вашей конфиденциальности и системе. К примеру, вы хотите «изучить врага изнутри», посетив и как следует рассмотрев фишинговый сайт. Поэтому, чтобы не стать при этом жертвой хакера, отключите максимум возможных надстроек, а также очистите всю историю браузера – в том числе все сохраненные пароли, кэш и cookie. В этом случае, даже если мошенник все же сможет взломать защиту вашего браузера, он не получит доступа ни к каким вашим сведениям, и вы сможете просмотреть необходимый сайт.


И, наконец, своевременно обновляйте все установленные надстройки. Практически все версии даже таких необходимых плагинов, как Flash Player или JavaScript, имеют свои уязвимости, которые рано или поздно будут обнаружены хакерами. И, соответственно, могут быть использованы для мошенничества. Единственная возможность быть наиболее полно защищенным при использовании надстроек – регулярное обновление плагинов до актуальных версий, т.к. их уязвимости еще не известны хакерам, и соответственно, не могут быть использованы.


Как видите, надстройки, хоть и повышают уязвимость браузера, необходимы для работы в Интернете, а уделяя достаточное внимание их безопасности, можно практически забыть о возможных угрозах при их использовании.


Роман Идов, ведущий аналитик компании SearchInform:

К сожалению, современная архитектура приложений, включая браузеры, не позволяет полностью защититься от уязвимостей и бэкдоров как в них самих, так и в сторонних модулях, расширяющих их возможности. Очевидно, что простые правила обеспечения своей безопасности – осторожность и внимательность – помогут и в данном случае. Но, самое главное, не делайте ничего с плагинами и дополнениями, чего вы сами не понимаете – если сайт запросил установку плагина или дополнения, а вы не знаете, для чего это вообще нужно, то не стоит больше заходить на такой сайт.