Το Google Chrome είναι πιο ανθεκτικό στις επιθέσεις από τους άλλους browsers, λένε οι ερευνητές.
Οι ερευνητές ανέλυσαν το Google Chrome, το Microsoft Edge και τον Internet Explorer και διαπίστωσαν ότι το Chrome είναι το πιο ανθεκτικό στις επιθέσεις από τα υπόλοιπα προγράμματα περιήγησης.
“Τα σύγχρονα προγράμματα περιήγησης ιστού όπως το Chrome ή το Edge βελτίωσαν την ασφάλεια τα τελευταία χρόνια. Η εκμετάλλευση των τρωτών σημείων είναι σίγουρα πιο σύνθετη σήμερα και απαιτεί υψηλότερη ικανότητα από ό, τι στο παρελθόν. Ωστόσο, η επιφάνεια επίθεσης των σύγχρονων φυλλομετρητών ιστού αυξάνεται λόγω των νέων τεχνολογιών και της αυξανόμενης πολυπλοκότητας των ίδιων των browsers », σημειώνει ο Markus Vervier, Διευθύνων Σύμβουλος του γερμανικού εξοπλισμού ασφάλειας πληροφορικής X41 D-Sec (και ένας από τους ερευνητές που συμμετείχαν στην ανάλυση).
Ο σκοπός των ερευνητών ήταν να προσδιορίσουν ποιο πρόγραμμα περιήγησης παρέχει το υψηλότερο επίπεδο ασφάλειας σε σενάρια κοινής χρήσης επιχειρήσεων.
Δεδομένου ότι όλα τα μη τετριμμένα λογισμικά έχουν σφάλματα και τρωτά σημεία ασφαλείας, το X41 πιστεύει ότι τα εμπόδια ασφαλείας που εμποδίζουν τους χάκερ να εκμεταλλευτούν αυτές τις ευπάθειες είναι οι πιο σημαντικές. Οι ερευνητές αξιολόγησαν αυτά τα εμπόδια και κατέληξαν στο συμπέρασμα ότι:
- Το Chrome είναι το πιο ανθεκτικό ενάντια στις επιθέσεις λόγω της στενής δέσμευσης των στοιχείων, του διαχωρισμού των καθηκόντων και των μεγαλύτερων προσπαθειών για αυτοματοποιημένη ανακάλυψη ευπάθειας.
- Το επίπεδο ασφαλείας του Internet Explorer μειώνεται εξαιτίας ενός αποδυναμωμένου sandbox (προστατευμένη λειτουργία).
- Το Microsoft Edge είναι πιο εύκολο να το εκμεταλλευτεί κάποιος για κακό σκοπό από τον Internet Explorer εξαιτίας του ισχυρότερου sandbox και της παρουσίας επικίνδυνων τεχνολογιών παλαιού τύπου.
- Παρόλα αυτά ο Chrome υποστηρίζει σύγχρονες τεχνολογίες ιστού που μπορεί να αυξήσουν την επιφάνεια επίθεσης, όπως οι λειτουργίες WebAssembly και HTML5, δηλαδή δεν υπάρχει 100% ασφάλεια
- Η προσέγγιση επικίνδυνων λειτουργιών από το Microsoft Edge είναι ευκολότερη απ ‘ό, τι στο Chrome. Για παράδειγμα, μια εναλλακτική λύση για τον Internet Explorer προτείνεται από τον κόμβο περιγράμματος Edge σε ορισμένους ιστότοπους από προεπιλογή.
Οι ερευνητές ανέλυσαν τα χαρακτηριστικά των επιχειρήσεων, τους sandboxes, τις εφαρμογές της απομόνωσης διεργασιών, τις δυνατότητες σκλήρυνσης και την εκμετάλλευση των τεχνικών μετριασμού, τον τρόπο με τον οποίο προστατεύουν τους ενδιάμεσους φορείς επίθεσης και τις επιθέσεις με ελαττώματα υλικού, τις πτυχές ασφάλειας που σχετίζονται με την ευχρηστία, .Δημοσίευσαν τα αποτελέσματα της ανάλυσής τους σε μία εκτεταμένη έκθεση.
Ερευνητές και χρηματοδότηση.
“Οι ανώτεροι εμπειρογνώμονες ασφαλείας του X41 έχουν την απαραίτητη εμπειρία και ιστορικό για να αναλύσουν σύνθετες εφαρμογές όπως τα σύγχρονα προγράμματα περιήγησης στο διαδίκτυο”, ανέφερε η εταιρεία.
Η ομάδα περιελάμβανε τα εξής μέλη:
- X41 D-Sec Διευθύνων Σύμβουλος και εμπειρογνώμονας ασφαλείας IT, τον Markus Vervier.
- Τον σύμβουλο ασφάλειας Michele Orrù (ο οποίος, μεταξύ άλλων, είναι επίσης ο κύριος προγραμματιστής του έργου και αξιοποίησης του προγράμματος περιήγησης, γνωστός και ως BeEF).
- Τον Eric Sesterhenn, οποίος επιμελείται τον Έλεγχο διείσδυσης και είναι εμπειρογνώμονας ελέγχου λογισμικού κώδικα.
- Τον Berend-Jan Wever, ερευνητής ασφαλείας στο X41 D-Sec και πρώην μέλος της ομάδας ασφάλειας του Google Chrome, καθώς και της ομάδας Microsoft Secure Initiative Windows Attack.
Τέλος, η εταιρεία σίγουρα σημείωνε ότι ενώ η Google χρηματοδότησε τους “πόρους” που απαιτούνται για το X41 για να διεξαγάγει αυτή την έρευνα, η συμφωνία ήταν ότι δεν θα παρεμβαίνει στη μεθοδολογία δοκιμής τους, ούτε θα ελέγχει το περιεχόμενο της έκθεσης κατά την δοκιμή και έως ότου τελειώσει το πείραμα.
“Γνωρίζουμε ότι θα μπορούσαμε να είμαστε ασυνείδητα μεροληπτικοί για να παραγάγουμε ευνοϊκά αποτελέσματα για τον χορηγό μας και προσπαθήσαμε να το εξαλείψουμε αυτό το γεγονός με όσο το δυνατόν πιο διαφανείς τρόπους σχετικά με τις διαδικασίες λήψης αποφάσεων και τις μεθοδολογίες δοκιμών”, πρόσθεσαν.
Αλλά ακόμη και αν τελικά δεν συμφωνείτε με τα συμπεράσματα των ερευνητών, το έγγραφο παρέχει μια μεγάλη τεχνική επισκόπηση των τριών browsers. Είναι πολύ κακό που άλλα δημοφιλή προγράμματα περιήγησης (Firefox, Safari, Opera) δεν συμπεριλήφθηκαν στην αξιολόγηση.