venerdì 18 ottobre 2019

Google Chrome per Android: introdotta la funzione di sicurezza Site Isolation


Dopo aver abilitato la funzione di sicurezza "site isolation" in Chrome per desktop già da qualche anno, Google ha finalmente introdotto la "linea extra di difesa" anche per gli utenti Android che utilizzano il popolare browser per la navigazione online. Una funzione di sicurezza molto importante, che garantirà un alto livello di protezione sopratutto alle credenziali di login e alle password. 

In breve:
la funzione di sicurezza di Site Isolation crea un confine, una barriera aggiuntiva tra il sito web e lo smartphone, facendo si che pagine da siti web differenti finiscano aperte in differenti processi sandbox. La sandbox è una tecnologia di sicurezza che garantisce di eseguire un software o di visualizzare una pagina web in un ambiente virtuale separato da quello del sistema reale: qualsiasi malware o tentativo di attacco che dovesse avvenire in ambiente sandbox non produrrà quindi effetti sul sistema. 

Nel caso specifico, poichè ogni sito nel browser ottiene un proprio processo isolato, in caso di presenza di vulnerabilità o di pagine web compromesse, la funzione di "site isolation" renderà più difficile agli attaccanti l'accesso al sistema o il furto dei dati (molto spesso gli attaccanti rubando le credenziali di accesso di un servizio online / social e poi li sfruttano in forma incrociata per accedere anche ad altri account della stessa vittima). 

La funzione quindi protegge dati sensibili, compresi i cookie di autenticazione, le password salvate, i dati di rete, le permissioni salvate ecc...

Riadattata da: https://thehackernews.com

Una solida barriera per lo smartphone Android
La funzionalità ha attirato molte attenzioni nel Gennaio 2018, quando era ancora in fase sperimentale: in quel periodo furono scoperte due vulnerabilità critiche della CPU (ne abbiamo parlato qui e qui) che consentivano ad attaccanti di usare siti web dannosi per lanciare attacchi laterali direttamente dal browser. Di lì a pochi mesi, Google decise di integrare ufficialmente la funzione di Site Isolation su Google Chrome per desktop, promettendo poi la sua estensione anche agli utenti Chrome su sistema Android. L'annuncio dell'implementazione di questa importante funzione è di qualche giorno fa e da Google hanno specificato che sarà integrata nella versione 77 di Chrome per Android: sarà disponibile per il 99% degli utenti che usano un dispositivo Android con almeno 2GB di RAM (l'1% escluso servirà a raccogliere feedback). 

Va però specificato che, rispetto alla versione Desktop, questa funzione non aprirà in sandbox tutte le pagine web: nella versione per Android questa funzione è stata ridisegnata perchè protegga solo pagine web di alto rischio, sulle quali l'utente fa login tramite l'uso di password.  Ad esempio, nel caso l'utente stia visitando una pagina di e-commerce con il browser Chrome su Android e esegua il login, Chrome osserverà l'interazione della password e passerà automaticamente alla funzione di Site Isolation. 


Chrome manterrà anche un elenco dei siti isolati: l'elenco sarà archiviato in locale nel dispositivo. Questo accorgimento permetterà l'attivazione automatica della funzione ogni volta che si visita uno dei siti contenuti in elenco. 

E' possibile comunque settare Chrome affinchè forzi l'attivazione di questa funzione, così che sia possibile isolare tutti i siti web senza preoccuparsi delle prestazioni del dispositivo. 

Nessun commento:

Posta un commento