Chrome擴展可防止基于JavaScript的攻擊
責(zé)編:mhshi |2018-03-20 10:15:47某學(xué)術(shù)團隊創(chuàng)建了一個名為 Chrome Zero 的 Chrome 擴展程序,據(jù)稱可阻止使用 JavaScript 代碼從計算機中的 RAM 或 CPU 泄露數(shù)據(jù)的旁路攻擊。目前該擴展程序僅在 GitHub (https://github.com/IAIK/ChromeZero)上提供,并且不能通過 Chrome 官方網(wǎng)上商店下載。
研究人員創(chuàng)建了擴展來重寫和保護惡意JavaScript代碼經(jīng)常使用的旨在泄露CPU或內(nèi)存數(shù)據(jù)的JavaScript函數(shù),屬性和對象。
專家表示,目前有11種最先進的旁路攻擊可以通過在瀏覽器中運行的JavaScript代碼執(zhí)行。
每次攻擊都需要訪問各種本地細節(jié),在安裝實際的邊信道攻擊之前,它使用JavaScript代碼泄漏,恢復(fù)和收集所需信息。
在研究了這十一次攻擊后,研究人員表示,他們已經(jīng)確定了JavaScript側(cè)通道攻擊嘗試利用的五大類數(shù)據(jù)/特征:JS可恢復(fù)的內(nèi)存地址,準確的時間(時間差異)信息,瀏覽器的多線程( Web工作者)支持,JS代碼線程之間共享的數(shù)據(jù)以及來自設(shè)備傳感器的數(shù)據(jù)。
Chrome Zero擴展通過攔截Chrome瀏覽器應(yīng)執(zhí)行的JavaScript代碼以及重寫封裝器中的某些JavaScript函數(shù),屬性和對象來消除其負面影響,這是Side-Channel攻擊會試圖利用的負面影響。
專家表示,盡管擴展的入侵行為,測試表明,對資源使用的影響最小,僅為1.54%,頁面加載延遲從0.01064s到0.08908s不等,取決于運行時活動的防護策略數(shù)量。此外,作為該擴展的“保護措施”的一個副作用,研究團隊表示,自Chrome 49發(fā)布以來,Chrome Zero將能夠阻止在現(xiàn)實世界中檢測到的Chrome 0day 數(shù)的50%。該擴展可能很好地阻止未來和未知的Chrome 0day,這主要是因為它習(xí)慣于將危險函數(shù)重寫為更安全的版本。
如何安裝Chrome Zero擴展
由于該擴展程序尚未在Chrome網(wǎng)上應(yīng)用店中使用,因此用戶可以通過以下方式進行安裝:
(1)從GitHub下載擴展程序的源代碼(https://github.com/IAIK/ChromeZero)
(2)進入Chrome的擴展管理頁面(chrome:// extensions);
(3) 開發(fā)者模式
(4)點擊“加載解壓縮”
(5)從擴展的源代碼中選擇文件夾 / chromezero。
原文:https://www.bleepingcomputer.com/news/security/chrome-extension-protects-against-javascript-based-cpu-side-channel-attacks/
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧