Главная особенность скрытых загрузок заключается в том, что они совершаются без какого-либо взаимодействия с пользователем. Google планирует заблокировать drive-by загрузки, которые, согласно стандартам компании, соответствуют непреднамеренным загрузкам. Новая функция безопасности будет реализована в браузере Google Chrome на всех поддерживаемых операционных системах, за исключением iOS.
Скрытые загрузки используются во многих атаках и вредоносных кампаниях для доставки вредоносного контента на устройство жертвы.
Совет: вы можете настроить ручную загрузку файлов в Chrome и других браузеров, чтобы избежать дополнительных рисков безопасности – для этого в меню chrome://settings/downloads включите параметр Всегда указывать место для скачивания.
По умолчанию Chrome загружает файлы автоматически (без запроса целевого расположения файла). Данное поведение привело к неприятной ситуации в системах Windows в 2017 году: файлы .scf загружались на компьютеры и автоматически обрабатывались Windows при открытии директории загрузок.
Инициализацию загрузок можно вызывать различными способами, например с помощью клика по ссылке на файл или кликнув правой кнопкой мыши по ссылке и выбрав опцию сохранения.
Согласно документу «Preventing Drive-By-Downloads in Sandboxed Iframes» загрузки будут автоматически блокироваться в Chrome, если они отвечают следующим требованиям:
- Загрузка инициализируется без взаимодействия с пользователем. Google отмечает, что существует два типа загрузок, которые попадают в данную категорию.
- Загрузка происходит в защищенном песочницей фрейме iframe.
- Фрейм не требует переходного жеста от пользователя в момент клика или навигации.
Google отмечает, что данное изменение затрагивает примерно 0,002% загрузок страниц. Компания признает, что существуют легитимные варианты использования функциональности, и отмечает, что законные издатели получат возможность обойти блокировку.
Реализация Google нацелена на вредоносную рекламу и рекламные кампании, используемые в первую очередь для распространения вредоносных загрузок.
Заинтересованные пользователи могут проверить статус ошибки на сайте Chromium, чтобы следить за развитием функциональности. Примечательно, что ошибка была опубликована еще в 2015 году. Пока неясно, когда эта функция станет доступной, но вполне вероятно, что она будет представлена в этом году.
Обновления программ, что нового
• Яндекс Пэй запустил подтверждение переводов через доверенное лицо для защиты от мошенников
• Samsung Galaxy A55 5G получил обновление One UI 8.5. Что нового
• Google устранила в Android 124 уязвимости, включая активно эксплуатируемую уязвимость «нулевого дня»
• Яндекс запустил бесплатный курс по защите от ИИ-мошенничества и дипфейков
• Xiaomi 17T Pro получил совместимость Быстрой отправки с AirDrop
• Steam получил новое обновление: настройка яркости Steam Controller, исправления зарядки и Remote Play