Обзор безопасности популярных веб-браузеров

Мы пользуемся веб-браузерами каждый день и часто не задумываемся, что не только социальные сети, облачные и почтовые сервисы собирают информацию о пользователях и отправляют ее компании или подвержены взломам и утечкам данных. Браузер тоже можно взломать и украсть из него пользовательские данные, чтобы потом использовать в своих целях. Поэтому важно понимать, какие меры безопасности и политики конфиденциальности предлагают известные приложения. Аналитический отдел Falcongaze рассмотрел 4 самых популярных браузера, и вот, что мы выяснили.

• Chrome

Chrome имеет несколько режимов: основной, режим синхронизации Google, инкогнито и гостевой.

В основном режиме браузер сохраняет URL посещенных страниц, файлы кэша с текстом и картинками, файлы cookie, список IP-адресов, на которые помещены ссылки на посещенных сайтах. Сохраняются пользовательские данные и пароли, а также информация о скачиваниях.

Однако Chrome предоставляет возможность очищать историю посещения страниц, удалять сохраненные данные и запретить принимать cookie. Google получает личную информацию и платежные данные в случае, если пользователь решил хранить их в аккаунте Google, активировав синхронизацию браузера Chrome.

Google сообщает, что если в их браузере будет обнаружено, что пользователь стал жертвой сетевой атаки, то будет отправлено уведомление либо в компанию, либо владельцам сайта, где произошла атака.

Браузер уведомляет, если сайт, который посещает пользователь, запрашивает информацию о его местоположении. Однако это не касается мобильных устройств. Там данные о местонахождении передаются автоматически, если пользователь открыл доступ к ним.

Chrome отправляет в Google информацию из веб-форм, которые вы заполняете, а также информацию о структуре формы и хешированный URL. Платежную информацию Chrome предлагает сохранять в платежном аккаунте Google. С помощью платежного аккаунта Chrome передает информацию о компьютере пользователя в Google Pay для защиты от мошенничества.

При синхронизации Chrome с аккаунтом Google личная информация сохраняется на серверах компании. Синхронизируются история посещения страниц, закладки, вкладки, пароли и параметры автозаполнения.

Гостевой режим и режим инкогнито позволяет ограничить информацию, которую Chrome хранит на компьютере пользователя. В данных режимах не сохраняется информация об истории просмотра сайтов, URL страницы, хешированный текст, IP-адреса, которые относятся к посещенным сайтам, уменьшенные изображения, записи о скачиваниях. Эти режимы ограничивают доступ сайтов к файлам cookie. Если же сайты сохранили в системе файлы cookie, то они будут удаляться при закрытии браузера.

Google Chrome имеет функцию Безопасного просмотра веб-страниц. В этом случае браузер обращается к серверам компании, чтобы получить информацию о подозрительных сайтах, так как в Google существует постоянно обновляемый список сайтов, на которых была замечена подозрительная активность (фишинг, распространение вредоносного ПО и т.д.). Копия этого списка хранится в системе пользователя. Каждый раз, когда он посещает сайт, браузер сверяется с ним.

Chrome сканирует не только веб-страницы, но и компьютер пользователя на предмет нежелательного ПО, которое может нарушить стабильность его работы или изменить настройки браузера. При обнаружении такого ПО Chrome предложит скачать Инструмент очистки Chrome, чтобы удалить его.

Дополнения, расширения и прочие сервисы могут отправлять личные данные пользователя на серверы Google. Такие данные могут включать информацию об устройстве пользователя, контенте, который он просматривает и другую.

Для того, чтобы система безопасности браузера всегда оставалась актуальной, обновления устанавливаются автоматически.

Недавно Google улучшила систему безопасности мобильного браузера Chrome. Если какой-либо из паролей, которые браузер запоминал, был взломан, Chrome сообщит об этом и попросит сменить пароль на взломанном сервисе.

Несмотря на то, что компания постоянно работает над улучшением своего продукта, утечки все-таки случаются. В конце 2019 года причиной утечки стал Инструмент защиты логинов и паролей Chrome. Как сообщила компания, были затронуты в основном жители Индии, но количество пострадавших могло насчитывать от 15% до 50% пользователей.

В августе того же года компания обнаружила утечку сотен тысяч пользователей. Google утверждала, что сразу уведомила пользователей о нарушении безопасности и попросила сменить пароли. Однако только 26% из них последовали инструкциям.

Тем не менее Google постоянно работает над тем, чтобы уязвимостей и утечек было меньше. В ноябре 2020 года компания выпустила обновление браузера, в котором ликвидировала 10 уязвимостей, одна из которых используется в атаках.

Расширения Chrome также не всегда являются безопасными. Недавно компания Avast сообщила об обнаружении расширений браузера, которые содержали в себе вредоносный код. Согласно отчету компании Avast, некоторые из них функционируют с декабря 2018 года.

По мнению аналитического отдела Falcongaze, меры безопасности Chrome не выделяются чем-то особенным. К тому же у компании случаются утечки, и она собирает информацию о пользователях.

Microsoft Edge

Как и Google Chrome, Microsoft Edge основан на базе Chromium. Это значит, что он использует ту же архитектуру безопасности. Однако компания не стала останавливаться на проекте Chromium и пошла дальше, развивая и улучшая свой продукт. На данный момент Microsoft заявляет, что для Windows 10 их браузер является более безопасным, чем Google Chrome.

Браузер имеет встроенную защиту SmartScreen, которая блокирует попытки фишинговых и других атак. Компания акцентирует внимание на том, что их встроенная защита справляется с большим количеством нежелательной активности, чем Google Chrome. При этом компания ссылается на независимое исследование NSS Labs. Пока пользователь находится онлайн, SmartScreen проверяет посещаемые им сайты и загрузки. Microsoft сообщает, что SmartScreen блокирует 95,5% попыток фишинговых атак и 98,5% атак с помощью малвари, в то время как Chrome блокирует 86,9% и 86,0% попыток соответственно.

Компания Microsoft сообщает, что Edge – единственный браузер, который поддерживает аппаратную изоляцию. Ненадежные сайты запускаются в изолированном от локального устройства и внутренних сетей ядре. Такие веб-ресурсы работаю в «контейнере», поэтому в случае атаки, у них не будет доступа к корпоративной сети. 

Edge заботится не только о предотвращении внешних угроз, но и о минимизации внутренних утечек. Как сообщает Microsoft, Edge — это единственный браузер, который поддерживает:

• Azure AD Conditional Access. Conditional Access – это инструмент, который используется Azure Active Directory. Это делается для того, чтобы улучшать решения по политике с помощью таких условий, как риск, платформа устройства и расположение.
• Windows Information Protection. Этот инструмент обеспечивает защиту корпоративных данных, чтобы предотвращать случайные утечки на платформе Windows 10. Он защищает буфер обмена, шифрует файлы при загрузке, препятствует загрузке файлов на непроверенные сетевые ресурсы и облачные хранилища. 
• Microsoft Endpoint Data Loss Prevention. DLP-система интегрируется с Microsoft Security Center. Инструмент сообщает пользователям Edge о странных активностях и минимизирует риск потери данных, пока пользователь находит онлайн. Он ищет и помечает конфиденциальные данные внутри корпоративной сети. Такие данные соответствуют определенным условия: содержат номера платежных карт, удостоверений, финансовую информацию и т. д.

Что касается политик конфиденциальности, то компания собирает обязательные и необязательные диагностические данные. Первые – для защиты, обеспечения актуальности и правильной работы браузера. Вторые включают в себя информацию об использовании браузера, сайтах, которые посещает пользователь, а также отчеты о сбоях. Компания уверяет, что собирает только нужные данные, которые необходимы для предоставления услуг или выполнения анализа.

В браузере есть функция InPrivate (гостевой режим). При выходе из гостевого режима, Edge удаляет журнал браузера, очищает историю загрузок, файлы cookie и другие данные сайтов. Режим просмотра InPrivate не синхронизируется с учетной записью Microsoft. В нем не сохраняются новые пароли и адреса. Однако компания сообщает, что данный режим не обеспечивает дополнительной защиты от вредоносных сайтов и не блокирует рекламу.

В марте 2020 года компания анонсировала Password Monitor, который будет предупреждать пользователей, если их данные учетных записей были замечены в утечках или взломах.

Когда компания создает новый продукт, у нее есть два пути: либо анонсировать его и позволить пользователям самим решать, хотят они попробовать новую программу или нет, либо устанавливать программу насильно. В июне 2020 года в сети стали появляться сообщения о том, что, продвигая свой браузер, Microsoft пошла вторым путем. Приложение стало появляться на устройствах пользователей, хотя они никогда его сами не устанавливали. Более того, сообщение, которое появлялось на экранах, пыталось убедить пользователей перестать использовать Chrome и перейти на Edge. Удалить его не получалось. Даже у тех, кто использовал уже не поддерживаемую Windows 7 или Windows 8, был установлен браузер.

С мая 2020 года на некоторые браузеры, в том числе Edge, была совершена атака злоумышленников. Она заключалась в установлении расширения и изменениях настроек пользователей. Расширение помещало ненадежные ссылки на страницы поиска, которые чаще всего представляли собой рекламу. На ней киберпреступники и зарабатывали: получали оплату за онлайн-трафик на сайтах.

Как у Chrome, 13 расширений Edge содержали вредоносный код, согласно расследованию Avast. Они перенаправляли пользователей на рекламу, фишинговые сайты, собирали личные данные и историю браузера.

Аналитический отдел Falcongaze считает, что меры безопасности Edge действительно выглядят лучше, чем Chrome. Однако настырность в распространении не играет на пользу компании.

• Opera применяет следующие меры безопасности:
• Блокировщик рекламы. Он также блокирует отслеживание файлов cookie и сценарии майнинга криптовалюты. Чтобы предотвратить криптоджекинг необходимо установить флажок NoCoin. При включенном блокировщике в адресной строке будет появляется специальный значок – щит с крестиком.
• Бесплатный VPN. Он позволяет не отслеживать местоположение пользователя, заменяя его на местоположение сервера. Благодаря VPN, соединение с браузером зашифровано, что повышает защиту пользовательских данных. К тому же объем передаваемых данных неограничен. Opera использует стандартное 256-битное шифрование. Компания уверяет, что не сохраняет какую-либо информацию об активности пользователя, когда он использует встроенный VPN.

Однако в 2016 году польский исследователь , что VPN от Opera больше похож на прокси. На самом деле «это переконфигурированный HTTP/S прокси, который защищает только трафик между Opera и прокси, не более того». Это было подтверждено самой компанией: VPN Opera – всего лишь браузерный VPN, представляющий собой «прокси из разных уголков мира, через которые проходит весь трафик браузера». Однако в случае, если прервется соединение с VPN, работа будет продолжена с реального IP устройства пользователя.

• Сертификаты безопасности. Они используются для проверки безопасности сайтов. Если с сайтом все в порядке, в адресной строке появится соответствующий значок – зеленый замок. При нажатии на него можно увидеть тип сертификата и его издателя.
• DNT: 1. В случае, если пользователе не хочет, чтобы сайт отслеживал его действия, Opera может отправить заголовок с запросом «DNT: 1». Это означает, что пользователь не хочет быть объектом слежения. Согласиться с желанием пользователя или нет – на усмотрении владельцев сайта.

На официальном сайте компания пишет, что при установке браузера генерируется случайный ID. Opera считывает этот идентификатор, ID устройства пользователя и другие данные. По словам компании, она использует эту информацию, чтобы улучшать свой продукт и лучше понимать, как пользователи взаимодействуют с их приложением и сервисами.

Некоторые расширения Opera требуют логин и пароль. Часто они используют Facebook Account Kit для быстрой аутентификации. Если пользователь использует Account Kit, он соглашается на передачу некоторых данных (электронная почта, номер телефона, информация об устройстве) Facebook и Opera.

Также в 2016 году компания продала свой браузер китайскому консорциуму. Покупатели получили права на браузер, его политики конфиденциальности, лицензию и название.

Интересно, что Yahoo считает браузер Opera самым инновационным в 2020 году. По мнению компании, Opera сочетает в себе лучшие черты Firefox и Chrome.

За последние пару лет Opera не была замечена в утечках и взломах прямо. А вот косвенно, например, браузер может использовать расширения Google. В 2019 году некоторые из них собирали конфиденциальную информацию о пользователях. В том же году обнаружили, что менеджер паролей LastPass, который также можно было использовать в Opera, имел уязвимость, позволяющую выкрасть учетные данные пользователя.

Меры безопасности Opera, на наш взгляд,  выглядят нестандартно. Большим плюсом является отсутствие утечек за последние несколько лет.

• Firefox

В 2019 году Федеральное управление по информационной безопасности Германии проверяло браузеры на соответствие стандарту безопасности. Согласно этому стандарту, браузер должен: поддерживать протокол TLS, иметь список доверенных сертификатов, поддерживать сертификаты расширенной проверки, проверять действительность загруженных сертификатов с помощью списков CRL и по протоколу OCSP, использовать значки и выделение цветом для отображения зашифрованного или незашифрованного соединения, разрешать соединение с использующими истекшие сертификаты сайтами только с согласия пользователя, поддерживать HSTS, SOP, CSP 2.0, SRI. Также должна присутствовать обязательная цифровая подпись обновлений, пароли должны храниться в зашифрованном виде, доступ к встроенному хранилищу паролей должен осуществляться только при вводе мастер-пароля и т. д.

Исследование Федерального управления Германии показало, что Mozilla Firefox является единственным браузером, который соответствует всем требованиям, указанным в стандарте безопасности.

На официальном сайте Mozilla выложен огромный гайд по безопасности браузера. Аналитический отдел Falgongaze постарался вычленить самое главное:

• Улучшенная защита от отслеживания. У защиты есть два режима: стандартный и строгий. В обоих режимах трекеры, которые собирают информацию о пользовательской активности на странице сайта, Mozilla Firefox блокирует. Среди них трекеры социальных сетей, межсайтовые cookie, криптомайнеры, трекеры содержимого и сборщики цифровых отпечатков. Отличие между режимами в том, что в строгом режиме отслеживающие трекеры блокируются во всех окнах, а в стандартном – в окнах приватного просмотра. К тому же строгий режим позволяет страницам загружаться быстрее, но может сломать некоторые части сайта. Есть также персональная защита – пользователь может настроить, какие трекеры блокировать, а какие – нет.

Фиолетовый щит в адресной строке браузера сигнализирует о том, что Firefox что-то блокирует на сайте. Чтобы узнать, что именно, нужно нажать на значок.

• Встроенная защита от фишинга и вредоносных программ. В случае, если сайт может нанести вред устройству пользователя, Firefox сообщит ему об этом. Эта функция срабатывает и на файлы: если браузер сочтет их вредоносными, он уведомит пользователя.
• Lockwise. Это инструмент, который защищает пароли пользователя, сохраненные в браузере Firefox. Если кто-то попытается получить к ним доступ, Mozilla может запросить пароль от ОС или аутентификацию с помощью отпечатка пальца, проверки лица или голоса.
• Предупреждение о небезопасном вводе. Браузер предупредит пользователя, если сайт не использует безопасное соединение. Это будет обозначено перечеркнутым замком в адресной строке. В таких случаях надо быть осторожным, так как данные, оставленные на странице, могут быть украдены злоумышленниками. Предупреждающее сообщение появится и в поле ввода данных. Перед тем, как оставить свои данные, Mozilla рекомендует проверить, нет ли безопасной версии страницы путем ввода https:// перед адресом сайта. Если же все-таки данные оставить нужно, компания советует ввести уникальные логин и пароль, которые нигде больше пользователем не используются.

Mozilla не отслеживает пользователей через сторонние веб-сайты. Однако она собирает информацию о том, как они дошли до загрузки браузера. Например, с помощью рекламной кампании.

В начале 2020 года компания заблокировала 197 вредоносных расширений для браузера. Они собирали пользовательские данные и использовали обфускацию, чтобы скрыть исходный код. Злоумышленники загружали их с удаленного сервера, что противоречит правилам Mozilla.

Также с 2020 года разработчики расширений должны использовать двухфакторную аутентификацию, чтобы злоумышленники не могли перехватить контроль над ними.

В блоге у Mozilla есть статья о том, как оценить безопасность расширения. Если кратко, то перед установкой расширение должно запрашивать доступ к данным или функциям браузера. Также компания советует проверять достоверность источника, если пользователь устанавливает расширение со стороннего сайта. Mozilla пишет, что важно понимать, какие разрешения даются дополнению и какой у него рейтинг среди пользователей.

По мнению аналитиков Falcongaze, Firefox – самый надежный браузер, а компания стремится защищать данные своих пользователей.

Мы постарались объективно рассмотреть политики безопасности и конфиденциальности, которые предлагают самые популярные веб-браузеры. Тщательно изучайте, какие политики конфиденциальности и безопасности предлагают разные компании, чтобы потом не попасть впросак.