Tag Archives: Google Chrome

Google’s SHA-1 Deprecation Plan for Chrome

      No Comments on Google’s SHA-1 Deprecation Plan for Chrome

The latest news in the SSL and web browser industries is Google’s plans to deprecate SHA-1 in a unique way on upcoming releases of Chrome starting with version 39. Considerably different from Microsoft’s plans that were announced in November 2013, Google plans on placing visual marks or placing a block within the browser; all based on the version of the browser, date of use and certificate’s expiration date.

Here is what you need to know first:

  1. SHA-1 is still safe to use but critics say its long-term ability to stand up to collision attacks is questionable.
  2. SHA-2 is the next hashing algorithm to be used.  If your end-entity or intermediate certificates are SHA-1, it might be a good idea to exchange them now.
  3. This issue faces all Certification Authorities, not just Symantec.
  4. All SHA-1 end-entity certificates and SHA-2 end-entity certificates chaining up to a SHA-1 intermediate are affected. SHA-1 root certificates are not affected by either Microsoft’s or Google’s SHA-1 deprecation plan.
  5. Google is using three terms that you may want to familiarize yourself with:
    1. secure, but with minor errors,
    2. neutral, lacking security, and
    3. affirmatively insecure.
  6. Symantec offers free replacements for affected Symantec SSL certificates.

What we expect to see with future Chrome releases:

Chrome 39 (Beta release: 26 September 2014, tentative production release: November 2014):

  1. Any SHA-1 SSL certificate, on a page, that expires on or after 1 January 2017 will be treated as “secure, but with minor errors”.  The lock within the address bar of the browser will have a yellow arrow over the lock as in this example provided by Google:

google-blog-1.png

 

Chrome 40 (Beta release: 7 November 2014, tentative production release: post-holiday season):

  1. Pages secured with a SHA-1 certificate expiring between 1 June 2016 and 31 December 2016 inclusive will experience the same treatment as described above.
  2. Additionally, pages secured with a SHA-1 certificate expiring after 1 January 2017 will be treated as “neutral, lacking security”.  The lock in the address bar will be replaced by a blank page icon as in this example provided by Google:

google-blog-2.png

 

Chrome 41 (Q1-Q2 2015):

  1. Sites secured with a SHA-1 certificate with validity dates terminating between 1 January 2016 and 31 December 2016 inclusive will be treated as “Secure, but with minor errors.”
  2. Sites secured with a SHA-1 certificate expiring on or after 1 January 2017 will be treated as “affirmatively insecure”.  The lock will have a red “X” over it with the letters “HTTPS” crossed out with a red font as in this example provided by Google.

google-blog-3.png

 

Here is a matrix to help you understand the dates:

 

Sample Expiration Dates

Chrome Version (Beta dates)

SHA-1

(Dec 31 2015)

 

SHA-1

(Jan 1 – May 31  2016)

SHA-1

(Jun 1 – Dec 31 2016)

SHA-1

(Jan 1 2017 and beyond )

Recommended:

SHA-2

Chrome 39

(Sept. 2014)

google-blog-4.png

google-blog-4.png

google-blog-4.png

google-blog-5.png

google-blog-4.png

Chrome 40

(Nov. 2014)

google-blog-4.png

google-blog-4.png

google-blog-5.png

google-blog-6.png

google-blog-4.png

Chrome 41

(Q1 2015)

google-blog-4.png

google-blog-5.png

google-blog-5.png

google-blog-7.png

google-blog-4.png

Moral of the story: Move to SHA-2, especially if your SSL certificate expires after December 2015.

 

What you need to do.

  1. Use our SSL Toolbox to see if your certificates are affected.  SHA-1 SSL certificates expiring before 2016 are NOT affected and can be replaced with a SHA-2 certificate at renewal time if you wish.
  2. If your Symantec certificates are affected you can replace them at no additional charge for a SHA-2 certificate, or a SHA-1 certificate with a validity that does not go past 2015.  Check with your vendor if they have a free replacement program like Symantec.
  3. Install your new certificates.
  4. Test your installation using the SSL Toolbox.
  5. Security Best Practice:  Revoke any certificates that were replaced in step #2.

For more in-depth information, instructions, and assistance please refer to our knowledge center article on this subject.  For a list of SHA-2 supported and unsupported applications review this list from the CA Security Council.

Read our SHA-2 webpage for the tools, steps to take, and a list of FAQs that can be generally applicable across all browsers.

So you’re sticking to Windows XP? Here’s how to protect yourself.

It’s the end of Microsoft support, not the end of the world. For more than a year, Microsoft informed and reminded users to upgrade from Windows XP before their support expired. They warned users that they would be subject to “zero-day” threats forever more. But, even with all that, nearly 30 percent of internet-connected PCs continue to […]

Cover Yourself: Google Leaves Your Passwords Exposed

We would like to assume that passwords saved in our web browser are stored in a secured virtual lock box, helping us to surf the web with increased speed and easily log into our favorite sites without sacrificing safety. Unfortunately, this might not be the case on Google Chrome, as it was recently brought to Read more…

Chrome ????????????????????

      No Comments on Chrome ????????????????????

Google 社は、Chrome ウェブストアに新しくアップロードされるアプリケーションと拡張機能に対してスキャンを実施するようになりました。Google Play では、すでに類似の機能が導入されています。

悪質な拡張機能にソーシャルネットワークユーザーが欺かれるケースについては、これまでにいくつも紹介してきました。自分のプロフィールに誰がアクセスしたかを確認できるなど、新しい機能をソーシャルネットワークに追加すると謳うのが典型的な手口です。すべてが公式の Chrome ウェブストアで公開されているわけではないので、Google 社の新しいプロセスでも、侵入を果たそうとする悪質な拡張機能をすべて遮断できるわけではありません。それでもなお、悪質な Chrome 拡張機能をできるだけ排除しようとする Google 社の取り組みをシマンテックは歓迎します。また、マルウェアを含む項目の検出率が上がるように自動システムを改善してきた姿勢も評価できます。

悪質なブラウザ拡張機能は、きわめて強力です。拡張機能をインストールしてアクセスを許可すると、ブラウザ内部から悪質なタスクを実行できます。それが、金融業界を狙うトロイの木馬、たとえば Zeus などによる MITB(Man-in-the-Browser)攻撃を引き起こす場合もあり、Web コンテンツを入れ替える、ログインフォームからパスワードを盗み出す、あるいはバックグラウンドでクリック詐欺を実行することも可能になります。現在、こうした悪質な拡張機能はソーシャルネットワーク詐欺としてごく一般的です。Firefox の拡張機能におけるマルウェアの危険性については 2009 年にホワイトペーパー(英語)を公開しましたが、同じ危険性が Chrome の拡張機能にも当てはまります。

Chrome1.jpg

図 1. 新機能を追加すると称する悪質なブラウザ拡張機能

ソーシャルメディアに出現する悪質な拡張機能に関連して、ソーシャルネットワークで無料を謳う商品を見かけたら、特にそれが人気の高い商品であるほど、十分に注意してください。ソーシャルネットワークで現在利用できない機能があるとしたら、利用できないそれなりの理由があるのです。発行元が不明なブラウザ拡張機能はインストールしないようにしてください。無料商品の提供や、未実装の機能の追加を謳っている場合は言うまでもなく、ソーシャルネットワークで盛んに宣伝されている場合には特に疑ってかかりましょう。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Chrome Web Store Apps Now Automatically Scanned

Google has started to scan newly uploaded applications and extensions in its Chrome Web Store, similar to what they already do in the Android Play Market.
We have written about quite a few cases where malicious extensions were pushed on social network …

????????: Facebook Black ?????????

      No Comments on ????????: Facebook Black ?????????

Facebook をお使いであれば、3 月 19 日頃、Facebook Black というアプリについて友達からの投稿が増えたことに気づかれたかもしれません。
 

図 1. Facebook の写真用プラグイン「Faecbook Black」(タイプミスがあることに注意)
 

これまでの詐欺と同様、ユーザーがタグ付けされた写真に、外部 Web サイトへのリンクが仕掛けられています。この例では、リンクは説明欄ではなくコメント欄にあります(図 1)。
 

図 2. iframe によってランディングページにリダイレクトされるが、一瞬だけこのページが表示される
 

Facebook へのリンクをクリックすると、Facebook ページにリダイレクトされます。リダイレクト先のページには iframe が設定されており(図 2)、何度かのリダイレクトを経て最終的に行き着くページでは Facebook Black のインストールを促されます。

これまでにシマンテックで確認され、Facebook Black のランディングページへ誘導されるサイトの例を以下に示します。

  • photocurious.com
  • phototart.com
     

図 3. Facebook Black のページ

次にユーザーは、Google Chrome 拡張機能をインストールするよう誘導されます(図 4)。

図 4. Facebook Black の偽の Chrome 拡張機能

この拡張機能を使い、Amazon の Simple Storage Service(Amazon S3)にホストされている 2 つの JavaScript ファイルがダウンロードされます(図 5)。

図 5. 拡張機能によりさらにファイルがダウンロードされる
 

これらの JavaScript ファイルは、被害者のアカウントを通じて詐欺を拡散し続けるために使われます。そのために、被害者のアカウントに新しい Facebook ページを作成します。このページに、ユーザーを Facebook Black のランディングページへリダイレクトするページへの iframe が含まれています(図 6 と図 7)。

図 6. ユーザーアカウントに新しいページが追加される

図 7. 新しく作成された Facebook ページに iframe によるリダイレクトが含まれている([Welcome]タブ

最終的に、この Facebook 拡張機能をインストールしたユーザーには、一連のアンケート詐欺が表示され(図 8)、詐欺師はここから利益を得ようとしていることがわかります。
 

図 8. 拡張機能のインストール後に表示されるアンケート詐欺
 

シマンテック製品をお使いのお客様は、Web Attack: Fake Facebook Application 3 の IPS シグネチャでこの攻撃から保護されています。偽の Chrome 拡張機能は、Trojan Horse として検出されます。

Google は、Chrome 拡張機能のいくつかをすでに削除しており、悪質な拡張機能に対する自動検出をさらに改善するとしています。この詐欺に引っかかってしまったユーザーは、Chrome 拡張機能をアンインストールし、作成された Facebook ページを削除してください。

 

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The New Black: Facebook Black Scam Spreads on Facebook

Yesterday, Facebook users may have noticed an influx of their friends posting about something called Facebook Black.
 

Figure 1. Facebook photo plugging “Faecbook” Black (notice the typo in this image)
 
Similar to previous sca…