Vaše oblíbené rozšíření prohlížeče může krást vaše hesla

Pamatujete si to rozšíření prohlížeče pro kontrolu pravopisu, které žádalo o oprávnění ke čtení a analýze všeho, co napíšete? Experti na kybernetickou bezpečnost varují, že existuje vysoká pravděpodobnost, že některá rozšíření zneužijí váš souhlas ke krádeži hesel, která narazíte do webového prohlížeče.

Společnost Talon pro digitální zabezpečení pomáhá uživatelům ocenit nebezpečí webových rozšíření analyzoval Internetový obchod Chrome oznámil, že desítky tisíc rozšíření mají přístup k znepokojivým oprávněním, jako je možnost měnit data na všech navštívených stránkách, stahovat soubory, přistupovat k aktivitě stahování a více.

„Mnoho oblíbených rozšíření ohrožuje uživatele,“ spoluzakladatel a technický ředitel společnosti Talon Cyber ​​SecurityOhad Bobrov vysvětlil Lifewire e-mailem. "[Dokonce] benigní rozšíření mohou mít zranitelná místa ve svém kódu nebo dodavatelském řetězci a mohou být náchylná k převzetí zákeřnými aktéry."

Wayward Extensions

Talon tvrdí, že rozšíření nabízejí svým uživatelům velkou hodnotu a přinášejí do webových prohlížečů řadu užitečných funkcí, jako je blokování reklam, kontrola pravopisu, správa hesel a další. Aby však bylo možné tyto funkce přinést, vyžadují rozšíření široká oprávnění k úpravě prohlížeče, jeho chování a navštívených webových stránek.

„Přirozeně, tato úroveň kontroly a přístupu od třetích stran může pro uživatele představovat významné bezpečnostní a soukromí,“ vysvětlil Talon.

Společnost dodává, že navzdory prověřovacímu procesu společnosti Google se mnoha škodlivým rozšířením podaří proklouznout mezerami a nakonec nepříznivě ovlivnit miliony uživatelů. Jeho analýza odhalila, že více než 60 % všech rozšíření v Internetovém obchodě Chrome má oprávnění číst nebo měnit uživatelská data a aktivitu.

Talon například říká, že kontrola pravopisu a gramatiky vyžaduje povolení vkládat skripty, které se spouštějí z kontextu webové stránky, aby analyzovaly text uživatele. Obvykle to dělají kontrolou vstupních polí nebo protokolováním úhozů uživatele jinými prostředky. Společnost říká, že to efektivně umožňuje rozšířením shromažďovat a exfiltrovat jakékoli informace na webové stránce, včetně hesla a další citlivá data.

Pak je tu blokování reklam, které tvoří některá z nejlepších rozšíření Internetového obchodu Chrome. Tato funkce zahrnuje odstranění prvků ze stránky a vyžaduje stejná oprávnění jako kontrola pravopisu.

Podobně mohou být oprávnění udělená pro sdílení obrazovky a rozšíření pro videokonference k provedení zamýšleného úkolu také zneužita k zachycení obrazovky a zvuku uživatele.

"Dva zranitelnosti byly nalezeny v uBlock Origin v posledních několika měsících, což útočníkům umožnilo zneužít oprávnění rozšíření číst a měnit data na všech stránkách a krást citlivé uživatelské informace,“ řekl nám Bobrov.

„Blokátory reklam, jako je uBlock Origin, jsou extrémně oblíbené a obvykle mají přístup ke každé stránce, kterou uživatel navštíví. V zákulisí jsou poháněny komunitními seznamy filtrů – selektory CSS, které určují, které prvky se mají blokovat. Tyto seznamy nejsou zcela důvěryhodné, takže jsou omezeny, aby se zabránilo škodlivým pravidlům ukrást uživatelská data,“ napsal bezpečnostní výzkumník Gareth Heyes, když demonstroval použití zranitelností v rozšíření ke krádeži hesel.

Bobrov také sdílel, že v roce 2019 populární Velký Suspender Rozšíření, které mělo více než dva miliony uživatelů, bylo koupeno zlomyslným aktérem, který využil jeho oprávnění k vkládání skriptů ke spouštění nezkontrolovaného, ​​vzdáleně hostovaného kódu na webových stránkách.

"Není známo, jaká data byla exfiltrována," řekl, "ale mohlo to potenciálně ukrást cokoli z jakékoli stránky, včetně hesel."

Žádné skutečné řešení

Bobrov říká, že Chrome a prakticky všechny ostatní přední webové prohlížeče pracují na omezení bezpečnostních rizik, která představují rozšíření, a to nejen zlepšením jejich prověřovacího procesu, ale také omezením některých schopností rozšíření.

Jedním takovým nedávným krokem, na který Bobrov poukazuje, je Google Manifest V3. Říká, že pro běžného uživatele je nejpatrnější rozdíl, který by Manifest V3 přinesl extensions je úplný zákaz vzdáleně hostovaného kódu a posun ve způsobu, jakým rozšíření upravují web žádosti. Nicméně dodává, že na druhou stranu, Manifest V3 byl kritizován za vážné omezování blokování reklam.

„Nejvýznamnějšími trendy jsou uzavírání bezpečnostních mezer, zvyšování viditelnosti a kontroly koncových uživatelů (např. které weby umožňují spouštění rozšíření) a zákaz nekontrolovatelného kódu v rozšířeních,“ Bobrov řekl. „Některé z těchto změn jsou zahrnuty v Manifestu V3 společnosti Google. Žádná z těchto změn však dramaticky nemění oprávnění dostupná pro rozšíření.“