Võtmed kaasavõtmiseks
- Enamik Chrome'i veebipoe laiendusi nõuab ohtlikke lube, mida saab pahatahtlikel eesmärkidel kuritarvitada.
- Kõik veebibrauserid püüavad lahendada eksitavate laienduste probleemi.
- Google's Manifest V3 on üks selline lahendus, mis lahendab mõned probleemid, kuid ei mõjuta laiendustele saadaolevaid lubasid.
Kas mäletate seda õigekirjakontrolli brauserilaiendit, mis küsis luba kõige sisestatava lugemiseks ja analüüsimiseks? Küberturvalisuse eksperdid hoiatavad, et on suur tõenäosus, et mõned laiendused kuritarvitavad teie nõusolekut, et varastada teie veebibrauserisse sisestatud paroole.
Aitamaks kasutajatel mõista veebilaiendite ohte, analüüsis digitaalse turvalisuse ettevõte Talon Chrome'i veebipoodi ja teatas, et kümnetel tuhandetel laiendustel on juurdepääs murettekitavatele lubadele, näiteks võimalus muuta kõigi külastatud saitide andmeid., failide allalaadimine, allalaadimistoimingutele juurdepääs ja palju muud.
"Paljud populaarsed laiendused seavad kasutajad ohtu," selgitas Talon Cyber Security kaasasutaja ja tehnoloogiadirektor Ohad Bobrov Lifewire'ile meili teel. "[Isegi] healoomuliste laienduste koodis või tarneahelas võib olla haavatavusi ja need võivad olla vastuvõtlikud pahatahtlike osalejate poolt ülevõtmisele."
Wayward laiendused
Talon väidab, et laiendused pakuvad nende kasutajatele suurt väärtust ja toovad veebibrauseritesse hulga kasulikke funktsioone, nagu reklaamide blokeerimine, õigekirjakontroll, paroolihaldus ja palju muud. Nende funktsioonide kasutamiseks vajavad laiendused aga laialdasi õigusi brauseri, selle käitumise ja külastatavate veebisaitide muutmiseks.
„Loomulikult võib selline kolmandatest osapooltest osapoolte kontrolli ja juurdepääsu tase tekitada kasutajatele olulisi turva- ja privaatsusohte,” selgitas Talon.
Ettevõte lisab, et vaatamata Google'i kontrolliprotsessile õnnestub paljudel pahatahtlikel laiendustel lünkadest läbi lipsata ja see mõjutab miljoneid kasutajaid negatiivselt. Selle analüüs näitas, et enam kui 60% kõigist Chrome'i veebipoe laiendustest on luba kasutajate andmete ja tegevuste lugemiseks või muutmiseks.
Näiteks Talon ütleb, et õigekirja- ja grammatikakontrollid nõuavad luba veebilehe kontekstist jooksvate skriptide sisestamiseks, et analüüsida kasutaja teksti. Tavaliselt teevad nad seda sisestusvälju kontrollides või kasutaja klahvivajutuste logimisega muul viisil. Ettevõtte sõnul võimaldab see laiendustel tõhus alt koguda ja välja filtreerida veebilehel olevat teavet, sealhulgas paroole ja muid tundlikke andmeid.
Siis on reklaamide blokeerimine, mis moodustab mõned Chrome'i veebipoe populaarseimad laiendused. See funktsioon hõlmab elementide eemaldamist lehelt ja nõuab samu õigusi, mis õigekirjakontrollid.
Ei ole teada, millised andmed välja filtreeriti, kuid see võis varastada mis tahes lehelt midagi, sealhulgas paroole.
Samamoodi võib kasutaja ekraani ja heli jäädvustamiseks kuritarvitada ka ekraani jagamiseks ja videokonverentsilaiendusteks antud lubasid, et täita oma ettenähtud ülesandeid.
"Viimaste kuude jooksul leiti rakendusest uBlock Origin kaks turvaauku, mis võimaldasid ründajatel kasutada laienduse luba lugeda ja muuta kõigi saitide andmeid ning varastada tundlikku kasutajateavet," ütles Bobrov.
Reklaamiblokeerijad, nagu uBlock Origin, on äärmiselt populaarsed ja neil on tavaliselt juurdepääs igale lehele, mida kasutaja külastab. Kulisside taga töötavad kogukonna poolt pakutavad filtriloendid – CSS-i valijad, mis määravad, millised elemendid blokeerida. Need loendeid ei usaldata täielikult, seega on nad sunnitud takistama pahatahtlikud reeglid kasutajaandmete varastamist,“kirjutas turvateadlane Gareth Heyes, demonstreerides laienduse haavatavuste kasutamist paroolide varastamiseks.
Bobrov jagas ka seda, et 2019. aastal ostis populaarse laienduse The Great Suspender, millel oli üle kahe miljoni kasutaja, pahatahtlik näitleja, kes kasutas selle lubasid, et sisestada skripte, et käitada kontrollimata, kaughostitud koodi. veebilehtedel.
"Ei ole teada, millised andmed välja filtreeriti," ütles ta, "kuid see võis varastada mis tahes lehelt midagi, sealhulgas paroole."
Päris lahendus puudub
Bobrov ütleb, et Chrome ja peaaegu kõik teised juhtivad veebibrauserid töötavad selle nimel, et ohjeldada laiendustest tulenevat turvariski, mitte ainult täiustades nende kontrolliprotsessi, vaid piirates ka mõningaid laienduste võimalusi.
Üks selline hiljutine samm, millele Bobrov juhib tähelepanu, on Google'i manifest V3. Ta ütleb, et tavakasutaja jaoks on Manifest V3 kõige märgatavam erinevus laienduste jaoks täielik kaughostitava koodi keeld ja nihe selles, kuidas laiendused veebipäringuid muudavad. Siiski lisab ta, et negatiivse poole pe alt on Manifest V3 kritiseeritud reklaamiblokeerijate tugeva takistamise eest.
"Kõige olulisemad suundumused on turvalünkade kaotamine, lõppkasutajate nähtavuse ja kontrolli suurendamine (nt millised saidid lubavad laiendusi käitada) ja laiendustes ülevaatamatu koodi keelamine, " ütles Bobrov. "Mõned neist muudatustest on hõlmatud Google'i manifestiga V3. Ükski neist muudatustest ei muuda aga oluliselt laiendustele saadaolevaid õigusi."
