Pagrindiniai pasiėmimai
- Daugeliui „Chrome“internetinės parduotuvės plėtinių reikia pavojingų leidimų, kuriais galima piktnaudžiauti kenkėjiškais tikslais.
- Visos žiniatinklio naršyklės bando išspręsti nenuoseklių plėtinių problemą.
- „Google's Manifest V3“yra vienas iš tokių sprendimų, padedančių išspręsti kai kurias problemas, bet mažai įtakos turintiems plėtiniams prieinamuose leidimuose.
Prisimeni tą rašybos tikrinimo naršyklės plėtinį, kuris prašė leidimo skaityti ir analizuoti viską, ką įvedate? Kibernetinio saugumo ekspertai perspėja, kad yra didelė tikimybė, kad kai kurie plėtiniai netinkamai naudoja jūsų sutikimą pavogti slaptažodžius, kuriuos įvedėte į žiniatinklio naršyklę.
Siekdama padėti naudotojams suprasti žiniatinklio plėtinių keliamus pavojus, skaitmeninės saugos įmonė Talon išanalizavo „Chrome“internetinę parduotuvę ir pranešė, kad dešimtys tūkstančių plėtinių turi prieigą prie nerimą keliančių leidimų, pvz., gali keisti duomenis visose lankomose svetainėse., atsisiųskite failus, pasiekite atsisiuntimo veiklą ir dar daugiau.
„Daugelis populiarių plėtinių kelia pavojų vartotojams“, – el. paštu „Lifewire“paaiškino „Talon Cyber Security“įkūrėjas ir CTO Ohadas Bobrovas. „[Net] gerybinių plėtinių kode arba tiekimo grandinėje gali būti pažeidžiamumų ir juos gali perimti kenkėjiški veikėjai.“
Paprasti plėtiniai
Talon teigia, kad plėtiniai siūlo didelę vertę savo vartotojams ir suteikia daug naudingų funkcijų žiniatinklio naršyklėms, pvz., skelbimų blokavimą, rašybos tikrinimą, slaptažodžių tvarkymą ir kt. Tačiau norint naudoti šias funkcijas, plėtiniams reikia plačių leidimų keisti naršyklę, jos elgesį ir lankomas svetaines.
„Natūralu, kad toks trečiųjų šalių subjektų valdymo ir prieigos lygis gali kelti didelę grėsmę saugumui ir privatumui vartotojams“, – paaiškino Talonas.
Bendrovė priduria, kad nepaisant „Google“tikrinimo proceso, daugelis kenkėjiškų plėtinių sugeba prasiskverbti pro spragas ir neigiamai paveikti milijonus vartotojų. Jos analizė atskleidė, kad daugiau nei 60 % visų plėtinių „Chrome“internetinėje parduotuvėje turi leidimus skaityti arba keisti naudotojo duomenis ir veiklą.
Pavyzdžiui, Talon sako, kad rašybos ir gramatikos tikrintuvai prašo leidimo įterpti scenarijus, paleidžiamus iš tinklalapio konteksto, kad būtų galima analizuoti vartotojo tekstą. Paprastai jie tai daro tikrindami įvesties laukus arba registruodami vartotojo klavišų paspaudimus kitomis priemonėmis. Bendrovė teigia, kad tai veiksmingai leidžia plėtiniams rinkti ir išfiltruoti bet kokią informaciją tinklalapyje, įskaitant slaptažodžius ir kitus slaptus duomenis.
Tada yra skelbimų blokavimas, kuris sudaro kai kuriuos geriausius „Chrome“internetinės parduotuvės plėtinius. Ši funkcija apima elementų pašalinimą iš puslapio ir reikalauja tų pačių leidimų kaip ir rašybos tikrintojams.
Nežinoma, kokie duomenys buvo išfiltruoti, bet tai galėjo pavogti bet ką iš bet kurio puslapio, įskaitant slaptažodžius.
Panašiai, ekrano bendrinimo ir vaizdo konferencijų plėtinių leidimai atlikti numatytą užduotį taip pat gali būti netinkamai naudojami fiksuojant naudotojo ekraną ir garsą.
„Per pastaruosius kelis mėnesius buvo aptiktos dvi „uBlock Origin“spragos, kurios leido užpuolikams išnaudoti plėtinio leidimą skaityti ir keisti duomenis visose svetainėse ir pavogti neskelbtiną vartotojo informaciją“, – sakė Bobrovas.
Skelbimų blokatoriai, tokie kaip uBlock Origin, yra labai populiarūs ir paprastai turi prieigą prie kiekvieno puslapio, kuriame vartotojas lankosi. Užkulisiuose jie veikia pagal bendruomenės pateiktus filtrų sąrašus – CSS parinkiklius, kurie diktuoja, kuriuos elementus blokuoti. Sąrašai nėra visiškai patikimi, todėl jie yra suvaržyti, kad kenkėjiškos taisyklės nepavogtų naudotojų duomenų“, – rašė saugumo tyrinėtojas Garethas Heyesas, demonstruodamas plėtinio spragų naudojimą slaptažodžiams pavogti.
Bobrovas taip pat pasidalijo, kad 2019 m. populiarųjį „The Great Suspender“plėtinį, kuriame buvo daugiau nei du milijonai vartotojų, įsigijo piktavalis veikėjas, kuris pasinaudojo jo leidimais įterpti scenarijus, kad būtų paleistas neperžiūrėtas, nuotoliniu būdu priglobtas kodas. tinklalapiuose.
"Nežinoma, kokie duomenys buvo išfiltruoti, - sakė jis, - bet tai galėjo pavogti bet ką iš bet kurio puslapio, įskaitant slaptažodžius."
Nėra tikro sprendimo
Bobrov sako, kad „Chrome“ir beveik visos kitos populiariausios žiniatinklio naršyklės stengiasi sumažinti plėtinių keliamą pavojų saugai, ne tik pagerindamos jų tikrinimo procesą, bet ir ribodamos kai kurias plėtinių galimybes.
Vienas iš tokių naujausių žingsnių, kuriuos nurodo Bobrovas, yra „Google Manifest V3“. Jis sako, kad vidutiniam vartotojui labiausiai pastebimas „Manifest V3“plėtinių skirtumas yra visiškas nuotoliniu būdu priglobto kodo uždraudimas ir keitimas, kaip plėtiniai keičia žiniatinklio užklausas. Tačiau jis priduria, kad, kalbant apie neigiamą pusę, „Manifest V3“buvo kritikuojamas už tai, kad labai trukdo naudoti skelbimų blokatorius.
„Svarbiausios tendencijos yra saugos spragų panaikinimas, galutinio vartotojo matomumo ir kontrolės didinimas (pvz., kuriose svetainėse leidžiama paleisti plėtinius) ir neperžiūrimo kodo draudimas plėtiniuose“, – sakė Bobrovas. "Kai kurie iš šių pakeitimų įtraukti į "Google" manifestą V3. Tačiau nė vienas iš šių pakeitimų iš esmės nepakeičia plėtiniams prieinamų leidimų."
