Έρχεται ένα νέο χαρακτηριστικό από το Google Chrome, το οποίο θα μπλοκάρει με αυτοματοποιημένο τρόπο τα drive-by-downloads, βελτιώνοντας την ασφάλεια των users.
Αρχικά, να αναφερθεί πως τα drive-by-downloads έχουν προέλθει από το website iFrames και προκύπτουν όταν ο χρήστης κατεβάζει ένα αρχείο χωρίς να έχει κάνει ο ίδιος αίτηση. Πρόκειται για μία ύπουλη τεχνική που έχει υιοθετηθεί από attackers που θέλουν να οδηγήσουν τα malware payloads σε στόχους-μηχανές, χωρίς την αίτηση κάποιου input από χρήστες. Τα drive-by-downloads χρησιμεύουν για malvertising, καθώς οι attackers κρύβουν κακόβουλα scripts στα iFrames των websites, τα οποία κατεβαίνουν όταν ένας χρήστης φορτώνει το website. Παρόλα αυτά, αυτό περιλαμβάνει καταστάσεις τύπου «user interaction» όταν τα άτομα καταλάθος πατούν σε παραπλανητικές διαφημίσεις ή σε ψεύτικα μηνύματα για σφάλμα συστήματος που φαίνονται σε websites ενώ στη συνέχεια προκαλούν αυτόματες λήψεις.
Ένας εκπρόσωπος της Google δήλωσε πως οι πάροχοι περιεχομένου θα πρέπει να μπορούν να σταματήσουν τα drive-by-downloads για το περιεχόμενο στα iframes. Επιπλέον, η ομάδα του Google Chrome σχεδιάζει να αποτρέψει τις λήψεις στα sandboxed iframes που δεν παρουσιάζουν την εμπλοκή από κάποιον χρήστη και θα υπάρχει ένας περιορισμός με λέξη κλειδί «allow-downloads-without-user-activation», αν κάποιος χρήστης προβεί σε αντίστοιχη κίνηση.
Όπως συζητήθηκε στην ομάδα, θα προστεθεί αυτό το νέο χαρακτηριστικό, το οποίο θα εμποδίζει τις λήψεις που προκαλούνται από «navigations and simulated clicks on links», τα οποία δεν θα απαιτούν κάποια παρέμβαση από τον χρήστη. Πιο συγκεκριμένα, το Google Chrome θα μπλοκάρει drive-by-downloads που συναντούν τις ακόλουθες συνθήκες:
- Όταν η λήψη έχει προκληθεί μέσω ή από τα navigations. Αυτοί είναι οι μόνοι τύποι λήψεων που θα μπορούσαν να πραγματοποιηθούν χωρίς κάποια κίνηση από τον χρήστη.
- Όταν το κλικ ή το navigation πραγματοποιείται σε ένα sandboxed iframe, αν οι ενδείξεις δεν περιέχουν τη λέξη κλειδί «allow-downloads-without-user-activation».
- Όταν το frame δεν έχει μια παροδική κίνηση την στιγμή που γίνεται το κλικ ή το navigation.
Σίγουρα από τη στιγμή που θα προστεθεί το συγκεκριμένο χαρακτηριστικό, οι χρήστες θα προστατευθούν από maldvertising καμπάνιες που δουλεύουν μέσω διαφημίσεων για την εξάπλωση των κακόβουλων λήψεων.
