it-swarm-id.com

Bisakah Anda mendapatkan virus hanya dengan mengunjungi situs web di Chrome?

Saya baru saja membaca Google Chrome: Akhir Pengunduhan Dengan Drive . Benarkah mengatakan bahwa drive-by-unduhan adalah riwayat di Google Chrome?

Jadi jika saya memiliki tautan (dari email spam) saya dapat mengklik kanan >> open in new incognito window >> dan pastikan 100% tidak ada virus/kerusakan pada sistem saya?

Awalnya saya sudah menanyakan pertanyaan ini di https://webapps.stackexchange.com/questions/15209/anonymous-links-in-email/15211 tapi saya tidak mendapatkan jawaban yang baik (dan selain itu semua jawaban ditargetkan pada situs phishing sedangkan pertanyaan saya ditargetkan pada "situs virus").

43
Pacerier

Diakui bahwa serangan unduhan drive-by hanya terjadi berkat interaksi pengguna seperti halnya, misalnya, dengan virus HDD Plus di mana pengunjung situs web yang disusupi perlu menggandakan klik setidaknya pada spanduk rad.msn.com.

Namun sebenarnya ada serangan unduhan drive-by yang berjalan dengan sukses di IE, Safari, Chrome dan Firefox tanpa memerlukan interaksi pengguna. Misalnya, CVE-2011-0611 = adalah kerentanan 0 hari hingga 13 April 2011 (artinya beberapa saat sebelum Anda mengajukan pertanyaan ini). Ini digunakan untuk menginfeksi beranda situs web Human Right Watch di Inggris --- Halaman yang terinfeksi = mengandung elemen <script src=newsvine.jp2></script> yang nakal. Ini menipu browser untuk melakukan caching dan mengeksekusi newsvine.jp2 sebagai kode JavaScript. Itu adalah serangan cache drive-by yang hanya merupakan kasus serangan download drive-by. Caching berhasil, tetapi file tidak dapat dieksekusi sebagai JavaScript karena sebenarnya ini adalah executable berbahaya berganti nama yang terkait dengan backdoor dari keluarga pincav .

Elemen skrip jahat lain yang ditemukan pada halaman yang terinfeksi adalah <script src="/includes/googlead.js"></script>, Yang tidak seperti kebanyakan serangan unduhan drive-by, memuat file .js Lokal. Kode JavaScript di googlead.js Membuat iframe yang mengeksekusi eksploitasi SWF dari domain yang dikendalikan oleh penyerang.

Pada tahun yang sama Anda mengajukan pertanyaan ini, ada contoh lain dari serangan unduhan drive-by yang tidak ada browser yang aman selama mereka menjalankan versi JRE yang rentan pada waktu itu ( CVE-2011-3544 ). Ribuan pengunjung beranda Amnesty International di Inggris terinfeksi oleh Trojan Spy-XR malware. Serangan berlanjut sampai Juni 2011 , jadi nanti setelah Anda mengajukan pertanyaan ini: Google Chrome tidak aman karenanya.

Sedikit lebih dari dua tahun kemudian setelah pertanyaan ini, pada 24 Oktober 201 , situs web php.net Yang terkenal telah menginfeksi para pengunjungnya dengan serangan unduhan drive melalui sebuah hidden tag iframe . Serangan itu juga menyangkut Google Chrome.

Anda juga menyebutkan Google Chrome bisa jadi itu aman karena mekanisme kotak pasirnya: well, semua browser diberi kotak pasir, bukan hanya Google Chrome, tetapi mereka juga rentan dikendarai oleh serangan unduhan karena mereka sendiri kerentanan atau plugin yang terpasang di dalamnya.

10
user45139

Jawaban singkat: Ya, Anda bisa mendapatkan virus hanya dengan mengunjungi situs di Chrome atau peramban lainnya, tanpa diperlukan interaksi pengguna ( demonstrasi video ). Bahkan dengan Chrome Anda tidak 100% aman - dan Anda mungkin tidak akan pernah dengan browser apa pun, tetapi Chrome semakin dekat dengan itu dan komunitas riset keamanan) tampaknya setuju bahwa saat ini, ini adalah peramban paling aman yang dapat Anda gunakan.

Jawaban panjang: Chrome, saat ini, adalah peramban paling aman yang ada di windows, karena teknik sandbox yang digunakannya yang menambah keamanan. Deskripsi yang baik dari kotak pasir ini ada di sini: http://blog.chromium.org/2008/10/new-approach-to-browser-security-google.html meskipun sedikit tanggal. Yang lebih baru dan teknis ada di sini: http://dev.chromium.org/developers/design-documents/sandbox

Gagasan umum adalah bahwa situs web jahat harus menggunakan dua eksploit terpisah untuk mencapai eksekusi kode pada komputer Anda: Yang pertama mengeksploitasi browser, yang kedua mengeksploitasi sanbox. Ini sudah terbukti sangat sulit dilakukan - belum pernah dilakukan.

Pertanyaan Anda muncul pada saat yang menyenangkan: Seminggu yang lalu firma riset keamanan VUPEN mengklaim bahwa itu rusak chrome sandbox dan menerbitkan pengumuman berikut: http://www.vupen.com /demos/VUPEN_Pwning_Chrome.php Jika Anda menonton video, Anda akan melihat bahwa tidak ada interaksi pengguna yang diperlukan selain mengunjungi URL berbahaya, dan aplikasi sampel muncul entah dari mana (bisa berupa virus). Deskripsi serangan terbukti salah (tapi itu tidak masalah bagi pengguna sederhana): Kotak pasir itu sendiri tidak dilanggar. Ternyata VUPEN mengeksploitasi bug di Adobe Flash Player, yang merupakan plugin yang hampir semua orang telah instal - dan plugin ini tidak sandboxed. Jawaban Google adalah mereka bergerak dan berkembang dengan cepat sehingga plugin ini pada akhirnya akan di-sandbox di versi selanjutnya.

Singkatnya: Seperti yang dapat Anda lihat di video, Anda tidak akan pernah bisa 100% yakin bahwa Anda aman, jadi berhati-hatilah, jangan buka tautan yang Anda tidak tahu kemana mereka pergi atau tidak mempercayai situs tersebut.

Sidenote: NSA baru-baru ini menerbitkan dokumen yang menunjukkan "Praktik Terbaik" untuk keamanan pengguna di internet: Di antaranya adalah rekomendasi untuk menggunakan browser yang memiliki kotak pasir.

Inilah laporannya: http://www.nsa.gov/ia/_files/factsheets/Best_Practices_Datasheets.pdf

Catatan lain: Internet Explorer 9 diiklankan memiliki kotak pasir, tetapi peneliti keamanan setuju bahwa itu tidak diterapkan dengan benar dan telah menunjukkan serangan yang berhasil terhadap itu.

Dan yang ketiga: Jendela penyamaran tidak ada hubungannya dengan perlindungan virus, tetapi dapat berguna dalam kelas serangan tertentu di mana mencuri cookie atau yang serupa adalah target karena ia memisahkan instance browser dan mengisolasi informasi yang tersedia.

Akhirnya, ada teknologi yang menawarkan perlindungan yang lebih baik, seperti sandboxie dan menjalankan browser di mesin virtual.

36
john

Saya tidak berpikir kita dapat mengatakan unduhan drive-by adalah riwayat (jika Anda menggunakan Chrome). Chrome memang mengimplementasikan sand boxing tetapi bukan tidak mungkin untuk keluar dari ruang proses yang terkandung. Pasir tinju dan penjelajahan yang aman hanya mengurangi kemungkinan penyerang menjadi sukses.

10
Ben