НАЗАД К НОВОСТЯМ
ИсследованияВысокий

Chrome для Android усиливает безопасность с помощью расширенных защитных функций

3 мин чтенияИсточник: Google Security Blog
Chrome settings screen showing Always Use Secure Connections toggle for HTTPS-First Mode

Google интегрировала Advanced Protection в Chrome для Android, добавив HTTPS-First Mode, полную изоляцию сайтов и снижение поверхности атак JavaScript для защиты высокорисковых пользователей.

Chrome для Android укрепляет безопасность благодаря интеграции Advanced Protection

Команда безопасности Chrome от Google объявила о внедрении Advanced Protection в браузер Chrome для Android, расширив надежные меры защиты для пользователей с высоким уровнем риска, таких как журналисты, избранные должностные лица и публичные фигуры. Это обновление, часть более широкой программы Advanced Protection Program для Android, включает три ключевых улучшения безопасности в Chrome: HTTPS-First Mode, полную изоляцию сайтов и сокращение поверхности атак JavaScript.

Ключевые улучшения безопасности

1. Всегда использовать защищённые соединения (HTTPS-First Mode)

Advanced Protection по умолчанию активирует HTTPS-First Mode, гарантируя, что все соединения — как публичные, так и частные — используют зашифрованный HTTPS. Это снижает риски перехвата данных или внедрения вредоносного контента через незащищённый HTTP. Хотя на долю незашифрованного HTTP приходится менее 1% загрузок страниц в Chrome для Android, он остаётся критическим вектором эксплуатации, как это наблюдалось во время целевых атак на выборах в Египте в 2023 году.

  • Для всех пользователей: Chrome постепенно расширял HTTPS-First Mode, включая:
    • Вариант с предупреждениями только на публичных сайтах (исключая локальные сети, например, 192.168.0.1).
    • Автоматическое принудительное использование в режиме инкогнито с версии Chrome 127 (июнь 2024).
    • Запрет на понижение протокола с HTTPS до HTTP для часто посещаемых сайтов (с версии Chrome 133, январь 2025).

Предприятия могут настраивать это через политики HTTPSOnlyMode и HTTPAllowlist.

2. Полная изоляция сайтов на мобильных устройствах

Функция Site Isolation, ранее доступная только в десктопной версии Chrome, теперь распространяется на устройства Android с 4 ГБ ОЗУ и более в рамках Advanced Protection. Она изолирует каждый сайт в отдельный процесс на уровне ОС, предотвращая доступ вредоносных сайтов к данным или эксплуатацию уязвимостей в других вкладках. Без Advanced Protection Chrome для Android изолирует только сайты с авторизацией или отправкой форм для экономии памяти.

3. Сокращение поверхности атак JavaScript

Advanced Protection отключает высокоуровневые оптимизаторы JavaScript в V8, которые, хотя и улучшают производительность, исторически были источником ~50% эксплуатируемых уязвимостей V8. Этот компромисс повышает безопасность ценой потенциального снижения производительности на некоторых сайтах.

  • Контроль для предприятий: Политика DefaultJavaScriptOptimizerSetting позволяет организациям отключать оптимизаторы, одновременно добавляя доверенных SaaS-поставщиков в белый список.
  • Контроль для пользователей: Доступно как настройка сайта с версии Chrome 133, пользователи могут включать или отключать оптимизаторы для каждого сайта отдельно.

Влияние и рекомендации

Для пользователей с высоким уровнем риска

Advanced Protection разработан для лиц, сталкивающихся с целевыми угрозами, такими как журналисты или государственные служащие. Для максимальной защиты:

  • Включите Advanced Protection Program для учётных записей Google, требующую многофакторную аутентификацию (MFA), устойчивую к фишингу.
  • Активируйте Advanced Protection на Android 16+ с Chrome 137+.
  • Регулярно обновляйте устройства и браузеры для защиты от новых угроз.

Для предприятий

Организации могут использовать эти функции через политики Chrome Enterprise для:

  • Принудительного включения HTTPS-First Mode на всех управляемых устройствах.
  • Активации полной изоляции сайтов на поддерживаемых устройствах Android.
  • Отключения оптимизаторов JavaScript с добавлением критически важных приложений в белый список.

Для владельцев сайтов

Разверните HTTPS, чтобы избежать предупреждений и обеспечить конфиденциальность данных. Используйте заголовки HSTS для предотвращения понижения протокола.

Заключение

Интеграция Google функции Advanced Protection в Chrome для Android отражает модель безопасности, основанную на оценке рисков, балансирующую между производительностью и защитой. Хотя стандартные настройки Chrome остаются безопасными для большинства пользователей, эти улучшения обеспечивают критически важные меры защиты для лиц с высоким уровнем риска и предприятий, работающих с конфиденциальными данными. По мере развития угроз Chrome продолжает повышать планку безопасности браузеров, не жертвуя удобством использования.

Advanced Protection доступен на Android 16+ с Chrome 137 и новее.

Поделиться

TwitterLinkedIn