Kulcs elvitelek
- A Chrome Internetes áruházban található bővítmények többsége veszélyes engedélyeket igényel, amelyek rosszindulatú célokra visszaélhetők.
- Minden webböngésző igyekszik megbirkózni a félrevezető kiterjesztések problémájával.
- A Google Manifest V3 az egyik ilyen megoldás, amely megold bizonyos problémákat, de nem befolyásolja a bővítmények számára elérhető engedélyeket.
Emlékszel arra a helyesírás-ellenőrző böngészőbővítményre, amely engedélyt kért minden beírt szöveg olvasásához és elemzéséhez? Kiberbiztonsági szakértők arra figyelmeztetnek, hogy nagy az esélye annak, hogy egyes bővítmények visszaélnek az Ön hozzájárulásával, hogy ellopják a webböngészőbe beütött jelszavakat.
Annak érdekében, hogy a felhasználók felismerjék a webbővítmények veszélyeit, a Talon digitális biztonsági vállalat elemezte a Chrome Internetes áruházat, és arról számolt be, hogy több tízezer bővítmény fér hozzá aggasztó engedélyekhez, például az összes meglátogatott webhely adatainak módosításához., fájlok letöltése, letöltési tevékenység elérése és még sok más.
„Sok népszerű bővítmény veszélyezteti a felhasználókat” – magyarázta Ohad Bobrov, a Talon Cyber Security társalapítója és műszaki igazgatója a Lifewire-nek e-mailben. „[Még a jóindulatú bővítményeknek is lehetnek sebezhetőségei a kódjukban vagy az ellátási láncukban, és ki vannak téve a rosszindulatú szereplők általi átvételnek.”
Wayward Extensions
Talon azzal érvel, hogy a bővítmények nagy értéket kínálnak felhasználóiknak, és számos hasznos funkciót hoznak a webböngészőkbe, mint például a hirdetések blokkolása, a helyesírás-ellenőrzés, a jelszókezelés stb. Ezeknek a funkcióknak a megvalósításához azonban a bővítmények széles körű engedélyeket igényelnek a böngésző, annak viselkedése és a felkeresett webhelyek módosításához.
„Természetesen a harmadik féltől származó vezérlés és hozzáférés ezen szintje jelentős biztonsági és adatvédelmi fenyegetést jelenthet a felhasználók számára” – magyarázta Talon.
A vállalat hozzáteszi, hogy a Google ellenőrzési folyamata ellenére sok rosszindulatú bővítménynek sikerül átcsúsznia a hiányosságokon, és végül több millió felhasználót érint hátrányosan. Elemzése feltárta, hogy a Chrome Internetes áruház összes bővítményének több mint 60%-a rendelkezik engedéllyel a felhasználói adatok és tevékenységek olvasására vagy módosítására.
Például Talon azt mondja, hogy a helyesírás- és nyelvhelyesség-ellenőrzők engedélyt kérnek olyan szkriptek beillesztésére, amelyek a weboldal környezetéből futnak a felhasználó szövegének elemzéséhez. Ezt általában úgy teszik, hogy megvizsgálják a beviteli mezőket, vagy más módon naplózzák a felhasználó billentyűleütéseit. A vállalat szerint ez hatékonyan lehetővé teszi a bővítmények számára, hogy összegyűjtsenek és kiszűrjenek minden információt a weboldalon, beleértve a jelszavakat és más érzékeny adatokat.
Ezután ott van a hirdetésblokkolás, amely a Chrome Internetes áruház legnépszerűbb bővítményei közé tartozik. Ez a funkció magában foglalja az elemek eltávolítását az oldalról, és ugyanolyan jogosultságokat igényel, mint a helyesírás-ellenőrzők.
Nem ismert, hogy milyen adatokat szűrtek ki, de bármilyen oldalról bármit ellophattak, beleértve a jelszavakat is.
Hasonlóan, a képernyőmegosztáshoz és a videokonferencia-bővítményekhez adott engedélyekkel a rendeltetésszerű feladatuk elvégzésére szintén vissza lehet használni a felhasználó képernyőjének és hangjának rögzítésére.
"Két sebezhetőséget találtak az uBlock Originben az elmúlt néhány hónapban, amelyek lehetővé tették a támadók számára, hogy kihasználják a bővítmény engedélyét az összes webhely adatainak olvasására és módosítására, valamint érzékeny felhasználói információk ellopására" - mondta el Bobrov.
A hirdetésblokkolók, mint például az uBlock Origin, rendkívül népszerűek, és jellemzően minden oldalhoz hozzáférnek, amelyet a felhasználó felkeres. A színfalak mögött a közösség által biztosított szűrőlisták – CSS-szelektorok – működtetik őket, amelyek megszabják, hogy mely elemeket kell blokkolni. A listák nem teljesen megbízhatóak, ezért arra kényszerülnek, hogy megakadályozzák, hogy a rosszindulatú szabályok ellopják a felhasználói adatokat” – írta Gareth Heyes biztonsági kutató, miközben bebizonyította, hogy a bővítményben található sebezhetőségeket jelszavak ellopására használják.
Bobrov azt is megosztotta, hogy 2019-ben a népszerű The Great Suspender bővítményt, amelynek több mint kétmillió felhasználója volt, egy rosszindulatú szereplő vásárolta meg, aki az engedélyeit kihasználva szkripteket szúrt be felül nem vizsgált, távolról tárolt kód futtatásához. a weboldalakon.
"Nem ismert, hogy milyen adatokat szűrtek ki" - mondta -, de potenciálisan bármit ellophattak bármely oldalról, beleértve a jelszavakat is."
Nincs igazi megoldás
Bobrov azt mondja, hogy a Chrome és gyakorlatilag az összes többi vezető webböngésző azon dolgozik, hogy visszaszorítsa a bővítmények jelentette biztonsági kockázatot, nemcsak az ellenőrzési folyamat javítása, hanem a bővítmények bizonyos képességeinek korlátozása révén is.
Az egyik ilyen közelmúltbeli lépés Bobrov szerint a Google Manifest V3. Azt mondja, hogy az átlagos felhasználó számára a Manifest V3 legszembetűnőbb különbsége a bővítmények között a távolról tárolt kód teljes betiltása, valamint a bővítmények webes kérelmek módosításának módosulása. Mindazonáltal hozzáteszi, hogy a Manifest V3-at azért kritizálták, mert súlyosan akadályozza a reklámblokkolókat.
"A legjelentősebb trendek a biztonsági rések megszüntetése, a végfelhasználók láthatóságának és ellenőrzésének növelése (például, hogy mely webhelyek engedélyezik a bővítmények futtatását), valamint a nem ellenőrizhető kódok kitiltása a bővítményekből" - mondta Bobrov. "E változtatások egy része a Google Manifest V3-ban is megtalálható. Azonban ezek a változtatások egyike sem változtatja meg drámai módon a bővítmények számára elérhető engedélyeket."
