Key Takeaways
- Većina ekstenzija na Chrome web trgovini zahtijeva opasne dozvole koje se mogu zloupotrijebiti u zlonamjerne svrhe.
- Svi web pretraživači pokušavaju da se pozabave problemom neobičnih ekstenzija.
- Googleov Manifest V3 je jedno takvo rješenje koje rješava neke probleme, ali malo pomaže u dozvolama dostupnim ekstenzijama.
Sjećate li se ekstenzije preglednika za provjeru pravopisa koja je tražila dozvole za čitanje i analizu svega što unesete? Stručnjaci za kibernetičku sigurnost upozoravaju da postoji velika šansa da neke ekstenzije zloupotrebljavaju vaš pristanak za krađu lozinki koje unesete u web preglednik.
Kako bi pomogla korisnicima da shvate opasnosti web ekstenzija, kompanija za digitalnu sigurnost Talon analizirala je Chrome web trgovinu i prijavila da desetine hiljada ekstenzija imaju pristup zabrinjavajućim dozvolama, kao što je mogućnost promjene podataka na svim posjećenim web lokacijama, preuzimanje datoteka, pristup aktivnosti preuzimanja i još mnogo toga.
“Mnoga popularna proširenja dovode korisnike u opasnost,” objasnio je suosnivač i tehnički direktor Talon Cyber Security Ohad Bobrov za Lifewire putem e-pošte. “Čak i benigne ekstenzije mogu imati ranjivosti u svom kodu ili lancu nabavke i mogu biti podložne preuzimanju od strane zlonamjernih aktera.”
Wayward Extensions
Talon tvrdi da ekstenzije nude veliku vrijednost svojim korisnicima i donose niz korisnih funkcija u web pretraživače kao što su blokiranje oglasa, provjera pravopisa, upravljanje lozinkama i još mnogo toga. Međutim, da bi donijele ove funkcionalnosti, ekstenzije zahtijevaju široke dozvole za modificiranje preglednika, njegovog ponašanja i posjećenih web stranica.
“Naravno, ovaj nivo kontrole i pristupa od strane trećih aktera može predstavljati značajnu prijetnju sigurnosti i privatnosti za korisnike,” objasnio je Talon.
Kompanija dodaje da uprkos Googleovom procesu provjere, mnoge zlonamjerne ekstenzije uspijevaju proći kroz praznine i na kraju negativno utječu na milione korisnika. Njegova analiza je otkrila da preko 60% svih ekstenzija na Chrome web trgovini ima dozvole za čitanje ili promjenu korisničkih podataka i aktivnosti.
Na primjer, Talon kaže da provjere pravopisa i gramatike traže dozvolu za ubacivanje skripti koje se pokreću iz konteksta web stranice kako bi analizirali korisnikov tekst. Oni to obično rade pregledom polja za unos ili evidentiranjem korisničkih pritisaka na tipke na drugi način. Kompanija kaže da ovo efektivno omogućava ekstenzijama da prikupljaju i eksfiltriraju sve informacije na web stranici, uključujući lozinke i druge osjetljive podatke.
Zatim postoji blokada oglasa, koja čini neke od najboljih ekstenzija Chrome web trgovine. Ova funkcionalnost uključuje uklanjanje elemenata sa stranice i zahtijeva iste dozvole kao i provjere pravopisa.
Nepoznato je koji su podaci eksfiltrirani, ali je potencijalno moglo ukrasti bilo šta sa bilo koje stranice, uključujući lozinke.
Slično, dozvole date za dijeljenje ekrana i proširenja video-konferencije za obavljanje predviđenog zadatka, također se mogu zloupotrijebiti za snimanje korisničkog ekrana i zvuka.
"Pronađene su dvije ranjivosti u uBlock Origin-u u posljednjih nekoliko mjeseci, što je omogućilo napadačima da iskoriste dozvolu ekstenzije za čitanje i promjenu podataka na svim stranicama i za krađu osjetljivih korisničkih informacija, " rekao nam je Bobrov.
Blokatori oglasa kao što je uBlock Origin su izuzetno popularni i obično imaju pristup svakoj stranici koju korisnik posjeti. Iza kulisa ih pokreću liste filtera koje obezbjeđuje zajednica - CSS selektori koji diktiraju koje elemente treba blokirati. listama se ne vjeruje u potpunosti, tako da su ograničene kako bi zlonamjerna pravila spriječila krađu korisničkih podataka,” napisao je sigurnosni istraživač Gareth Heyes dok je demonstrirao korištenje ranjivosti u ekstenziji za krađu lozinki.
Bobrov je također podijelio da je 2019. popularnu ekstenziju The Great Suspender, koja je imala preko dva miliona korisnika, kupio zlonamjerni glumac, koji je nastavio da iskoristi njegove dozvole za ubacivanje skripti za pokretanje nepregledanog koda koji se nalazi na daljinu. na web stranicama.
"Nepoznato je koji su podaci eksfiltrirani," rekao je, "ali potencijalno je mogao ukrasti bilo šta sa bilo koje stranice, uključujući lozinke."
Nema pravog rješenja
Bobrov kaže da Chrome i gotovo svi drugi vodeći web pretraživači rade na obuzdavanju sigurnosnog rizika koji predstavljaju ekstenzije, ne samo poboljšanjem njihovog procesa provjere već i ograničavanjem nekih od mogućnosti ekstenzija.
Jedan od takvih nedavnih koraka koji Bobrov ističe je Googleov Manifest V3. On kaže da je za prosječnog korisnika najuočljivija razlika koju bi Manifest V3 donio ekstenzijama potpuna zabrana koda koji se nalazi na daljinu i promjena u načinu na koji ekstenzije modificiraju web zahtjeve. Međutim, on dodaje da je s druge strane Manifest V3 kritiziran zbog ozbiljnog ometanja blokatora oglasa.
"Najznačajniji trendovi su zatvaranje sigurnosnih praznina, povećanje vidljivosti i kontrole krajnjih korisnika (npr. koje stranice dozvoljavaju pokretanje ekstenzija) i zabrana ekstenzija koda koji se ne može pregledati", rekao je Bobrov. "Neke od ovih promjena su obuhvaćene Googleovim Manifestom V3. Međutim, nijedna od ovih promjena dramatično ne mijenja dozvole dostupne ekstenzijama."