Keeawayt
- Suurin osa Chrome Web Storen laajennuksista vaatii vaarallisia käyttöoikeuksia, joita voidaan käyttää väärin haitallisiin tarkoituksiin.
- Kaikki verkkoselaimet yrittävät ratkaista erehtyneiden laajennusten ongelman.
- Googlen Manifest V3 on yksi ratkaisu, joka ratkaisee joitakin ongelmia, mutta ei juurikaan vaikuta laajennusten käytettävissä oleviin käyttöoikeuksiin.
Muistatko sen oikeinkirjoituksen tarkistavan selainlaajennuksen, joka pyysi lupaa lukea ja analysoida kaikkea kirjoittamaasi? Kyberturvallisuusasiantuntijat varoittavat, että on suuri mahdollisuus, että jotkin laajennukset väärinkäyttävät lupaasi varastaakseen verkkoselaimeen lyömiäsi salasanoja.
Auttaakseen käyttäjiä ymmärtämään verkkolaajennusten vaaroja, digitaalinen tietoturvayritys Talon on analysoinut Chrome Web Storen ja raportoinut, että kymmenillä tuhansilla laajennuksilla on pääsy huolettaviin käyttöoikeuksiin, kuten mahdollisuus muuttaa kaikkien vierailevien sivustojen tietoja., lataa tiedostoja, käytä lataustoimintoja ja paljon muuta.
"Monet suositut laajennukset vaarantavat käyttäjät", Talon Cyber Securityn toinen perustaja ja teknologiajohtaja Ohad Bobrov selitti Lifewirelle sähköpostitse. "[Jopa] hyvänlaatuisten laajennusten koodissa tai toimitusketjussa voi olla haavoittuvuuksia, ja ne voivat olla alttiita haitallisten toimijoiden v altauksille."
Wayward-laajennukset
Talon väittää, että laajennukset tarjoavat käyttäjilleen suurta arvoa ja tuovat joukon hyödyllisiä ominaisuuksia verkkoselaimiin, kuten mainosten eston, oikeinkirjoituksen tarkistuksen, salasanan hallinnan ja paljon muuta. Näiden toimintojen tuomiseksi laajennukset edellyttävät kuitenkin laajoja käyttöoikeuksia selaimen, sen toiminnan ja vierailtujen verkkosivustojen muokkaamiseen.
"Luonnollisesti tämä kolmannen osapuolen hallinnan ja pääsyn taso voi aiheuttaa käyttäjille merkittäviä turvallisuus- ja tietosuojauhkia", Talon selitti.
Yhtiö lisää, että Googlen tarkistusprosessista huolimatta monet haitalliset laajennukset onnistuvat liukumaan aukkojen läpi ja vaikuttavat kielteisesti miljooniin käyttäjiin. Sen analyysi paljasti, että yli 60 prosentilla kaikista Chrome Web Storen laajennuksista on lupa lukea tai muuttaa käyttäjätietoja ja toimintaa.
Esimerkiksi Talon sanoo, että oikeinkirjoituksen ja kieliopin tarkistit pyytävät lupaa lisätä komentosarjoja, jotka suoritetaan verkkosivun kontekstista analysoidakseen käyttäjän tekstiä. He tekevät tämän yleensä tarkastelemalla syöttökenttiä tai kirjaamalla käyttäjän näppäinpainallukset muilla tavoilla. Yhtiön mukaan tämän ansiosta laajennukset voivat tehokkaasti kerätä ja suodattaa kaikki verkkosivulla olevat tiedot, mukaan lukien salasanat ja muut arkaluontoiset tiedot.
Sitten on mainosten esto, joka muodostaa osan Chrome Web Storen suosituimmista laajennuksista. Tämä toiminto sisältää elementtien poistamisen sivulta ja vaatii samat oikeudet kuin oikoluku.
Ei ole tiedossa, mitä tietoja suodatettiin, mutta se olisi voinut varastaa mitä tahansa miltä tahansa sivulta, myös salasanat.
Samaan tapaan näytön jakamiseen ja videoneuvottelujen laajennuksiin myönnettyjä lupia voidaan käyttää väärin myös käyttäjän näytön ja äänen tallentamiseen.
"UBlock Originista löydettiin viimeisten kuukausien aikana kaksi haavoittuvuutta, joiden ansiosta hyökkääjät saattoivat hyödyntää laajennuksen lupaa lukea ja muuttaa tietoja kaikilla sivustoilla ja varastaa arkaluontoisia käyttäjätietoja", Bobrov kertoi.
"UBlock Originin k altaiset mainosten estoaineet ovat erittäin suosittuja, ja niillä on yleensä pääsy jokaiselle sivulle, jolla käyttäjä vierailee. Kulissien takana ne toimivat yhteisön toimittamilla suodatinluetteloilla – CSS-valitsimilla, jotka sanelevat, mitkä elementit estetään. Nämä listat eivät ole täysin luotettavia, joten ne on rajoitettu estämään haitallisia sääntöjä varastamasta käyttäjätietoja", kirjoitti tietoturvatutkija Gareth Heyes, kun hän osoitti käyttävänsä laajennuksen haavoittuvuuksia salasanojen varastamiseen.
Bobrov kertoi myös, että vuonna 2019 pahantahtoinen toimija osti suositun The Great Suspender -laajennuksen, jolla oli yli kaksi miljoonaa käyttäjää, ja jatkoi sen oikeuksia syöttääkseen komentosarjoja suorittaakseen tarkistamatonta, etäisännöityä koodia. verkkosivuilla.
"Ei tiedetä, mitä tietoja suodatettiin", hän sanoi, "mutta se olisi voinut varastaa mitä tahansa miltä tahansa sivulta, myös salasanat."
Ei todellista ratkaisua
Bobrov sanoo, että Chrome ja käytännöllisesti katsoen kaikki muut johtavat verkkoselaimet pyrkivät hallitsemaan laajennusten aiheuttamaa tietoturvariskiä, ei pelkästään parantamalla niiden tarkistusprosessia vaan myös rajoittamalla joitain laajennusten ominaisuuksia.
Yksi tällainen viimeaikainen askel, jonka Bobrov huomauttaa, on Googlen Manifest V3. Hän sanoo, että keskivertokäyttäjälle Manifest V3:n havaittavin ero laajennuksiin on täydellinen etäisännöidyn koodin kieltäminen ja muutos tavassa, jolla laajennukset muokkaavat verkkopyyntöjä. Hän kuitenkin lisää, että haittapuolena on, että Manifest V3:a on kritisoitu mainosten estäjien vakavasta haitasta.
"Merkittävimmät trendit ovat suojausaukkojen kurominen, loppukäyttäjien näkyvyyden ja hallinnan lisääminen (esim. mitkä sivustot sallivat laajennusten suorittamisen) ja tarkistamattoman koodin kieltäminen laajennuksista", Bobrov sanoi. "Jotkut näistä muutoksista sisältyvät Googlen Manifest V3:een. Mikään näistä muutoksista ei kuitenkaan muuta dramaattisesti laajennusten käyttöoikeuksia."
