Tag Archive: Chrome


shutterstock_50339284_Carlos-A-Oliveras

Google experimenta actualmente con un procedimiento que permitiría ocultar la mayor parte de la URL en Chrome, con el fin de dar mayor visibilidad a la parte más importante, el nombre del dominio. El propósito sería hacer más sencilla para los usuarios la detección de intentos de phishing.

Jake Archibald, ingeniero de la división Chrome de Google, explicó recientemente la función en el blog de la empresa. Archibald indica que la funcionalidad está inspirada en el procedimiento utilizado en el sistema operativo iOS de Apple.

Un elemento que caracteriza la mayor parte de los intentos de phishing es que el nombre del dominio no es el mismo utilizado por la empresa u organización que se intenta suplantar; en su mayoría bancos. De esa forma, si un usuario desprevenido observa que el nombre de su banco aparece en la dirección de Internet, probablemente concluirá que se trata de una URL legítima.

Archibald presenta el siguiente ejemplo:

jake

Esto se debe a que la mayoría de los usuarios de Internet probablemente desconocen la forma en que en las URL están estructuradas, ni qué diferencia puede implicar un punto o un guión.

La idea de incorporar en Chrome la funcionalidad señalada es que la mayoría de los nombres de dominio, incluidos subdominios, no tienen la longitud del ejemplo anterior. Por lo tanto, si todo el dominio es destacado por el sistema, los nombres sospechosamente largos, o desconocidos, probablemente motivarán una reacción en el usuario.

Por ahora es inseguro si esta funcionalidad será definitivamente incorporada en el navegador. Según se indica, el proyecto no es respaldado por todos los integrantes del “grupo Chrome” de Google, aparte de ser imprescindible probar su funcionamiento en un grupo de usuarios, antes de su incorporación general.

Fuente | DiarioTI

Salvo que hayáis estado totalmente desconectados durante los últimos días, sabréis que Rovio lanzó hace unos días Bad Piggies, la secuela de su archiconocido Angry Birds. El éxito ha sido muy grande, y como siempre ocurre, los creadores de malware han aprovechado para infectar a usuarios desprevenidos.

Y el objetivo principal esta vez ha sido el almacén de extensiones de Google: la Chrome Web Store. Rovio no sacó ninguna versión oficial para este navegador, así que la confusión ha sido todavía mayor. De hecho, si ahora mismo buscáis “Bad Piggies” en la Store, os encontraréis con un montón de versiones falsas. Y lo peor no es que sean falsas.

En Barracuda Labs investigaron estas extensiones, y descubrieron que pedían acceso a todas las páginas web. Cuando navegabas a webs conocidas, como Yahoo! o MSN entre otras, los “juegos” sustituían los anuncios de esas páginas por los suyos propios.

Y esto es sólo lo que han podido averiguar. Dado que los juegos falsos pueden acceder a cualquier web, podrían robarte tus datos (contraseñas, usuarios, cuentas de banco) y enviarlas a otros servidores sin que te dieses cuenta. En total, unos 82.000 usuarios han instalado estos juegos y han sido “infectados” por el adware.

Aquí Google tiene una parte de culpa importante por no poner ningún tipo de control en Chrome Web Store. Con una revisión rápida, cualquier persona mínimamente formada habría sospechado de esas aplicaciones. De hecho, los mismos desarrolladores tienen publicadas varias aplicaciones falsas del mismo estilo de ‘Bad Piggies’, e incluso están verificados.

Un elemento que añade confusión es que en la lista de resultados de búsqueda aparece un pequeñotick, que hace pensar que es una aplicación de confianza. En realidad, ese tick sólo quiere decir que el creador de la aplicación tiene una web verificada, no implica que sea una aplicación revisada, ni oficial, ni nada. Y lo peor de todo: si como usuarios nos damos cuenta de que esa aplicación no es lo que dice ser, no tenemos ninguna forma de reportarla.

Pero claro, que haya 82.000 usuarios infectados no es sólo culpa de Google, también los usuarios tienen parte de responsabildiad. Hay que recordar que cuando instalamos una aplicación nos aparece una ventana, que en este caso diría “Esta aplicación puede acceder a tus datos en todos tus sitios web”. Bastante descabellado para ser sólo un juego, ¿verdad?

Y puedo entender que piquen los primeros usuarios. Pero los siguientes verán, al lado del nombre ‘Bad Piggies’, un contador con sólo una o dos de cinco estrellas. Creo que lo mejor en estos casos es mirar primero los comentarios para ver qué ocurre de verdad en la aplicación.

En definitiva, Google tiene una parte importante de culpa por no revisar la Chrome Web Store y por mantener todavía esas aplicaciones disponibles. Pero los usuarios tenemos que estar más educados en estos temas y ser un poco más escépticos y cuidadosos a la hora de descargar cosas de Internet.

Fuente | Barracuda Networks

.

[Video demostrativo toma de control]

Cuando Google Chrome se presentó al público general tuvo una gran acogida (además de por el hype que provoca cada producto totalmente nuevo de la mano de Google) por su muy cacareada seguridad. Implementando sandboxes por cada pestaña y plugin teóricamente la seguridad mejora bastante. Y de hecho Google Chrome siempre salió imbatido de cada Pwn2Own en el que ha participado.

No obstante parece que no era para tanto. Un equipo de investigadores ha descubierto la manera de obtener el control de la máquina mediante Google Chrome, y además de una manera totalmente silenciosa. Chrome no falla ni se cierra al hacerlo y el resto del sistema operativo tampoco.

Se aprovecha de un par de vulnerabilidades zero-day que no se han hecho públicas. En el vídeo superior puedes ver una prueba: lo que ocurre es que al acceder el usuario a una Web especialmente manipulada el atacante se podrá saltar varias tecnologías de seguridad (como el sandbox de Chrome o la protección DEP por software) para acabar ejecutando en la máquina un binario descargado del servidor (la calculadora de Windows en ese caso).

La prueba fue inofensiva porque los investigadores sabían lo que estaban haciendo, pero pensad que podría ser cualquier clase de troyano o algo todavía más dañino lo que se descargara y ejecutara en nuestro equipo. La cosa es grave, como vemos. La vulnerabilidad se manifiesta en Windows para 32 y 64 bits y la última versión estable de Chrome.

Como vemos, ningún escudo es suficientemente impenetrable. La ventaja de los escudos de software es que no se fabrican, sino que se desarrollan y pueden mejorar con el tiempo y el trabajo de sus ingenieros. Y a la gente de Google le conviene que su navegador siga teniendo fama de impenetrable.

Fuente

A %d blogueros les gusta esto: