Suosikkiselainlaajennuksesi voi varastaa salasanasi
Avaimet takeawayt
- Suurin osa Chrome Web Storen laajennuksista vaatii vaarallisia käyttöoikeuksia, joita voidaan käyttää väärin haitallisiin tarkoituksiin.
- Kaikki verkkoselaimet yrittävät puuttua hämärään laajennusten ongelmaan.
- Googlen Manifest V3 on yksi tällainen ratkaisu, joka ratkaisee joitain ongelmia, mutta ei juurikaan hallitse laajennusten käytettävissä olevia käyttöoikeuksia.
NicoElNino / Getty Images
Muistatko sen oikeinkirjoituksen tarkistavan selainlaajennuksen, joka pyysi lupaa lukea ja analysoida kaikkea kirjoittamaasi? Kyberturvallisuusasiantuntijat varoittavat, että on suuri mahdollisuus, että jotkin laajennukset väärinkäyttävät suostumustasi varastaakseen verkkoselaimeen lyömiäsi salasanoja.
Auttaakseen käyttäjiä ymmärtämään verkkolaajennusten vaaroja, digitaalinen turvayritys Talon on analysoinut Chrome Web Store ilmoittaa, että kymmenillä tuhansilla laajennuksilla on pääsy huolettaviin käyttöoikeuksiin, kuten mahdollisuus muuttaa kaikkien vierailtujen sivustojen tietoja, ladata tiedostoja, käyttää lataustoimintoja ja lisää.
"Monet suositut laajennukset vaarantavat käyttäjät", yksi perustajista ja teknologiajohtaja Talonin kyberturvallisuusOhad Bobrov selitettiin Lifewirelle sähköpostitse. "[Jopa] hyvänlaatuisissa laajennuksissa voi olla haavoittuvuuksia koodissaan tai toimitusketjussa, ja ne voivat olla alttiita haitallisten toimijoiden valtauksille."
Wayward-laajennukset
skylarvision / 32 kuvaa / Pixabay
Talon väittää, että laajennukset tarjoavat käyttäjilleen suurta arvoa ja tuovat joukon hyödyllisiä ominaisuuksia verkkoselaimiin, kuten mainosten eston, oikeinkirjoituksen tarkistuksen, salasanan hallinnan ja paljon muuta. Näiden toimintojen tuomiseksi laajennukset vaativat kuitenkin laajat oikeudet muokata selainta, sen toimintaa ja vierailtuja verkkosivustoja.
"Luonnollisesti tämän tasoinen valvonta ja pääsy kolmansien osapuolien toimijoilta voi aiheuttaa merkittäviä turvallisuus- ja tietosuojauhkia käyttäjille", Talon selitti.
Yritys lisää, että Googlen tarkistusprosessista huolimatta monet haitalliset laajennukset onnistuvat liukumaan aukkojen läpi ja vaikuttavat haitallisesti miljoonia käyttäjiä. Sen analyysi paljasti, että yli 60 prosentilla kaikista Chrome Web Storen laajennuksista on oikeudet lukea tai muuttaa käyttäjien tietoja ja toimintaa.
Esimerkiksi Talon sanoo, että oikeinkirjoituksen ja kieliopin tarkistajat pyytävät lupaa lisätä komentosarjoja, jotka suoritetaan verkkosivun kontekstista analysoimaan käyttäjän tekstiä. He tekevät tämän yleensä tarkastelemalla syöttökenttiä tai kirjaamalla käyttäjän näppäinpainallukset muilla tavoilla. Yhtiö sanoo, että tämä antaa laajennuksille mahdollisuuden kerätä ja suodattaa kaikki verkkosivulla olevat tiedot, mukaan lukien salasanat ja muut arkaluontoiset tiedot.
Sitten on mainosten esto, joka muodostaa osan Chrome Web Storen suosituimmista laajennuksista. Tämä toiminto sisältää elementtien poistamisen sivulta ja vaatii samat oikeudet kuin oikoluku.
"Ei tiedetä, mitä tietoja suodatettiin, mutta se olisi voinut varastaa mitä tahansa miltä tahansa sivulta, mukaan lukien salasanat."
Samoin näytön jakamiseen ja videokonferenssilaajennuksiin myönnettyjä käyttöoikeuksia voidaan käyttää väärin käyttäjän näytön ja äänen tallentamiseen.
"Kaksi haavoittuvuuksia löydettiin vuonna uBlock-alkuperä viime kuukausina, mikä antoi hyökkääjille mahdollisuuden hyödyntää laajennuksen lupaa lukea ja muuttaa tietoja kaikilla sivustoilla ja varastaa arkaluonteisia käyttäjätietoja", Bobrov kertoi meille.
"Ublock Originin kaltaiset mainosblokkerit ovat erittäin suosittuja, ja niillä on yleensä pääsy jokaiselle käyttäjän vierailemalle sivulle. Kulissien takana niitä käyttävät yhteisön toimittamat suodatinluettelot – CSS-valitsimet, jotka sanelevat, mitkä elementit estetään. Nämä luettelot eivät ole täysin luotettavia, joten ne on rajoitettu estämään haitallisia sääntöjä varastamasta käyttäjätietoja." kirjoitti tietoturvatutkija Gareth Heyes, kun hän osoitti käyttävänsä laajennuksen haavoittuvuuksia salasanojen varastamiseen.
Bobrov jakoi myös, että vuonna 2019 suosittu Suuri henkari laajennuksen, jolla oli yli kaksi miljoonaa käyttäjää, osti pahantahtoinen toimija, joka jatkoi sen oikeuksia syöttääkseen komentosarjat tarkistamattoman, etäisännöidyn koodin suorittamiseksi verkkosivuilla.
"Ei tiedetä, mitä tietoja suodatettiin", hän sanoi, "mutta se olisi voinut varastaa mitä tahansa miltä tahansa sivulta, myös salasanat."
Ei Todellista Ratkaisua
Richy Great / Unsplash
Bobrov sanoo, että Chrome ja käytännössä kaikki muut johtavat verkkoselaimet pyrkivät hillitsemään turvariskiä laajennuksia, ei vain parantamalla niiden tarkistusprosessia, vaan myös rajoittamalla joitain järjestelmän ominaisuuksia laajennuksia.
Yksi tällainen viimeaikainen askel, jonka Bobrov huomauttaa, on Googlen Manifesti V3. Hän sanoo, että keskivertokäyttäjälle Manifest V3:n merkittävin ero on laajennukset on täydellinen kielto etäisännöidylle koodille ja muutos tavassa, jolla laajennukset muokkaavat verkkoa pyynnöt. Hän kuitenkin lisää, että haittapuolena Manifest V3:a on arvosteltu siitä, että se haittaa vakavasti mainosten estotoimintoja.
”Merkittävimmät trendit ovat tietoturva-aukkojen kurominen, loppukäyttäjien näkyvyyden ja hallinnan lisääminen (esim. mitkä sivustot sallivat laajennusten suorittamisen) ja tarkistamattomien koodien kieltäminen laajennuksista, Bobrov sanoi. "Jotkut näistä muutoksista sisältyvät Googlen Manifest V3:een. Mikään näistä muutoksista ei kuitenkaan muuta dramaattisesti laajennusten käytettävissä olevia käyttöoikeuksia."