Klíčové poznatky
- Většina rozšíření v Internetovém obchodě Chrome vyžaduje nebezpečná oprávnění, která mohou být zneužita ke škodlivým účelům.
- Všechny webové prohlížeče se snaží vypořádat se s problémem svéhlavých rozšíření.
- Manifest V3 od Googlu je jedno z takových řešení, které řeší některé problémy, ale moc neovládá oprávnění dostupná pro rozšíření.
Pamatujete si to rozšíření prohlížeče pro kontrolu pravopisu, které žádalo o oprávnění ke čtení a analýze všeho, co napíšete? Experti na kybernetickou bezpečnost varují, že existuje vysoká pravděpodobnost, že některá rozšíření zneužijí váš souhlas ke krádeži hesel, která vyrazíte do webového prohlížeče.
Aby uživatelům pomohla ocenit nebezpečí webových rozšíření, analyzovala společnost pro digitální zabezpečení Talon Internetový obchod Chrome a oznámila, že desítky tisíc rozšíření mají přístup k znepokojivým oprávněním, jako je možnost měnit data na všech navštívených stránkách., stahování souborů, přístup ke stahování a další.
„Mnoho oblíbených rozšíření ohrožuje uživatele,“vysvětlil Lifewire e-mailem spoluzakladatel a technický ředitel Talon Cyber Security Ohad Bobrov. „[Dokonce] benigní rozšíření mohou mít zranitelná místa ve svém kódu nebo dodavatelském řetězci a mohou být náchylná k převzetí zákeřnými aktéry.“
Wayward Extensions
Talon tvrdí, že rozšíření nabízejí svým uživatelům velkou hodnotu a přinášejí do webových prohlížečů řadu užitečných funkcí, jako je blokování reklam, kontrola pravopisu, správa hesel a další. Aby však rozšíření přinesla tyto funkce, vyžadují široká oprávnění k úpravě prohlížeče, jeho chování a navštívených webových stránek.
„Přirozeně, tato úroveň kontroly a přístupu ze strany aktérů třetích stran může pro uživatele představovat významné ohrožení bezpečnosti a soukromí,“vysvětlil Talon.
Společnost dodává, že navzdory prověřovacímu procesu společnosti Google se mnoha škodlivým rozšířením daří proklouznout mezerami a nakonec nepříznivě ovlivnit miliony uživatelů. Jeho analýza odhalila, že více než 60 % všech rozšíření v Internetovém obchodě Chrome má oprávnění číst nebo měnit uživatelská data a aktivitu.
Talon například říká, že kontroloři pravopisu a gramatiky žádají o povolení vkládat skripty spouštěné z kontextu webové stránky za účelem analýzy textu uživatele. Obvykle to dělají kontrolou vstupních polí nebo protokolováním úhozů uživatele jinými prostředky. Společnost říká, že to efektivně umožňuje rozšířením shromažďovat a exfiltrovat jakékoli informace na webové stránce, včetně hesel a dalších citlivých dat.
Potom je tu blokování reklam, které tvoří některá z nejlepších rozšíření Internetového obchodu Chrome. Tato funkce zahrnuje odstranění prvků ze stránky a vyžaduje stejná oprávnění jako kontrola pravopisu.
Není známo, jaká data byla exfiltrována, ale mohla potenciálně ukrást cokoli z jakékoli stránky, včetně hesel.
Podobně mohou být oprávnění udělená pro sdílení obrazovky a rozšíření pro videokonference k provedení jejich zamýšleného úkolu také zneužita k zachycení obrazovky uživatele a zvuku.
"V uBlock Origin byly během posledních několika měsíců nalezeny dvě zranitelnosti, které útočníkům umožnily zneužít oprávnění rozšíření číst a měnit data na všech stránkách a krást citlivé uživatelské informace," řekl nám Bobrov.
Blokovače reklam, jako je uBlock Origin, jsou extrémně oblíbené a obvykle mají přístup ke každé stránce, kterou uživatel navštíví. V zákulisí je využívají komunitní seznamy filtrů – selektory CSS, které určují, které prvky se mají blokovat. seznamy nejsou zcela důvěryhodné, takže jsou omezeny, aby zabránily škodlivým pravidlům ukrást uživatelská data,“napsal bezpečnostní výzkumník Gareth Heyes, když demonstroval použití zranitelností v rozšíření ke krádeži hesel.
Bobrov také sdělil, že v roce 2019 bylo oblíbené rozšíření The Great Suspender, které mělo přes dva miliony uživatelů, zakoupeno záškodnickým hercem, který využil jeho oprávnění k vkládání skriptů ke spouštění nezkontrolovaného, vzdáleně hostovaného kódu. na webových stránkách.
"Není známo, jaká data byla exfiltrována," řekl, "ale mohlo to potenciálně ukrást cokoli z jakékoli stránky, včetně hesel."
Žádné skutečné řešení
Bobrov říká, že Chrome a prakticky všechny ostatní přední webové prohlížeče se snaží omezit bezpečnostní riziko, které rozšíření představují, a to nejen zlepšením jejich procesu ověřování, ale také omezením některých schopností rozšíření.
Jedním z takových nedávných kroků, na které Bobrov poukazuje, je Manifest V3 od Googlu. Říká, že pro běžného uživatele je nejviditelnějším rozdílem, který Manifest V3 rozšířením přinese, úplný zákaz vzdáleně hostovaného kódu a posun ve způsobu, jakým rozšíření upravují webové požadavky. Nicméně dodává, že na druhou stranu, Manifest V3 byl kritizován za vážné omezování blokátorů reklam.
"Nejvýznamnějšími trendy jsou zacelení bezpečnostních mezer, zvýšení viditelnosti a kontroly koncových uživatelů (např. které weby umožňují spouštění rozšíření) a zákaz rozšíření s nepřezkoumatelným kódem," řekl Bobrov. "Některé z těchto změn jsou zahrnuty v Manifestu V3 Google. Žádná z těchto změn však dramaticky nemění oprávnění dostupná pro rozšíření."
