Jūsų mėgstamiausias naršyklės plėtinys gali pavogti jūsų slaptažodžius

January 11, 2022
ĮŽinios Interneto Apsauga

Key Takeaways

Daugeliui „Chrome“ internetinės parduotuvės plėtinių reikalingi pavojingi leidimai, kuriais galima piktnaudžiauti piktybiniais tikslais.
Visos žiniatinklio naršyklės bando išspręsti nepalankių plėtinių problemą.
„Google Manifest V3“ yra vienas iš tokių sprendimų, kurie sprendžia kai kurias problemas, tačiau mažai dominuoja plėtiniams prieinamuose leidimuose.

Užrakto vaizdų laukas nulių ir vienetų fone. — NicoElNino / Getty Images

Prisiminkite tą rašybos tikrinimo naršyklės plėtinį, kuris prašė leidimo skaityti ir analizuoti viską, ką įvedėte? Kibernetinio saugumo ekspertai perspėja, kad yra didelė tikimybė, kad kai kurie plėtiniai piktnaudžiauja jūsų sutikimu pavogti slaptažodžius, kuriuos įvedėte į žiniatinklio naršyklę.

Norėdami padėti vartotojams suprasti žiniatinklio plėtinių keliamus pavojus, skaitmeninės saugos įmonė Talon išanalizavo „Chrome“ internetinėje parduotuvėje pranešti, kad dešimtys tūkstančių plėtinių turi prieigą prie nerimą keliančių leidimų, pvz., galimybė keisti visų lankomų svetainių duomenis, atsisiųsti failus, pasiekti atsisiuntimo veiklą ir daugiau.

„Daugelis populiarių plėtinių kelia pavojų vartotojams“, – vienas iš įkūrėjų ir CTO Talon kibernetinis saugumasOhadas Bobrovas el. paštu paaiškino „Lifewire“. „[Net] gerybinių plėtinių kode arba tiekimo grandinėje gali būti pažeidžiamumų ir juos gali perimti kenkėjiški veikėjai.

„Wayward“ plėtiniai

Iš arti naršyklės URL laukas — skylarvision / 32 vaizdai / Pixabay

Talon teigia, kad plėtiniai siūlo didelę vertę savo vartotojams, o žiniatinklio naršyklėms suteikia daugybę naudingų funkcijų, tokių kaip skelbimų blokavimas, rašybos tikrinimas, slaptažodžių valdymas ir kt. Tačiau norint naudoti šias funkcijas, plėtiniams reikia plačių leidimų keisti naršyklę, jos elgesį ir lankomas svetaines.

„Natūralu, kad toks trečiųjų šalių subjektų kontrolės ir prieigos lygis gali kelti didelę grėsmę saugumui ir privatumui vartotojams“, – paaiškino Talonas.

Bendrovė priduria, kad nepaisant „Google“ tikrinimo proceso, daugeliui kenkėjiškų plėtinių pavyksta prasiskverbti pro spragas ir neigiamai paveikti milijonai vartotojų. Jos analizė atskleidė, kad daugiau nei 60 % visų „Chrome“ internetinės parduotuvės plėtinių turi leidimus skaityti arba keisti naudotojo duomenis ir veiklą.

Pavyzdžiui, Talon teigia, kad rašybos ir gramatikos tikrintuvai prašo leidimo įterpti scenarijus, paleidžiamus iš tinklalapio konteksto, kad būtų galima analizuoti vartotojo tekstą. Paprastai jie tai daro tikrindami įvesties laukus arba registruodami vartotojo klavišų paspaudimus kitomis priemonėmis. Bendrovė teigia, kad tai veiksmingai leidžia plėtiniams rinkti ir išfiltruoti bet kokią informaciją tinklalapyje, įskaitant slaptažodžius ir kitus slaptus duomenis.

Tada yra skelbimų blokavimas, kuris sudaro kai kuriuos geriausius „Chrome“ internetinės parduotuvės plėtinius. Ši funkcija apima elementų pašalinimą iš puslapio ir reikalauja tų pačių teisių kaip ir rašybos tikrintuvams.

„Nežinoma, kokie duomenys buvo išfiltruoti, bet tai galėjo pavogti bet ką iš bet kurio puslapio, įskaitant slaptažodžius.

Panašiai, leidimai, suteikti ekrano bendrinimui ir vaizdo konferencijų plėtiniams atlikti numatytą užduotį, taip pat gali būti netinkamai naudojami siekiant užfiksuoti vartotojo ekraną ir garsą.

„Du pažeidžiamumų buvo rasti „uBlock“ kilmė per pastaruosius kelis mėnesius, o tai leido užpuolikams išnaudoti plėtinio leidimą skaityti ir keisti duomenis visose svetainėse ir pavogti neskelbtiną vartotojo informaciją“, – pasakojo Bobrovas.

„Reklamos blokatoriai, tokie kaip uBlock Origin, yra labai populiarūs ir paprastai turi prieigą prie kiekvieno puslapio, kurį vartotojas aplanko. Užkulisiuose juos veikia bendruomenės pateikti filtrų sąrašai – CSS parinkikliai, nurodantys, kuriuos elementus blokuoti. Šie sąrašai nėra visiškai patikimi, todėl jie yra suvaržyti, kad kenkėjiškos taisyklės nepavogtų naudotojų duomenų. rašė saugumo tyrinėtojas Garethas Heyesas, kaip jis pademonstravo, kad slaptažodžiams pavogti naudoja plėtinio pažeidžiamumą.

Bobrovas taip pat pasidalijo, kad 2019 m Didysis pakabukas plėtinį, kuriame buvo daugiau nei du milijonai vartotojų, įsigijo piktavalis veikėjas, kuris pasinaudojo jo leidimais, kad įterptų scenarijus, kad tinklalapiuose būtų paleistas neperžiūrėtas, nuotoliniu būdu priglobtas kodas.

„Nežinoma, kokie duomenys buvo išfiltruoti“, – sakė jis, – bet tai galėjo pavogti bet ką iš bet kurio puslapio, įskaitant slaptažodžius.

Nėra tikro sprendimo

Monitoriaus ir interneto naršyklės vaizdas iš arti — Richy Great / Unsplash

Bobrovas teigia, kad „Chrome“ ir beveik visos kitos populiariausios žiniatinklio naršyklės stengiasi sumažinti saugos keliamą pavojų plėtinius, ne tik tobulinant jų tikrinimo procesą, bet ir apribojant kai kurias jų galimybes plėtiniai.

Vienas iš tokių naujausių žingsnių, kuriuos nurodo Bobrovas, yra „Google“. Manifestas V3. Jis sako, kad paprastam vartotojui labiausiai pastebimas „Manifest V3“ skirtumas plėtiniai yra visiškas nuotoliniu būdu priglobto kodo uždraudimas ir pakeitimas, kaip plėtiniai keičia žiniatinklį prašymus. Tačiau jis priduria, kad „Manifest V3“ buvo kritikuojamas už tai, kad labai trukdo skelbimų blokatoriams.

„Svarbiausios tendencijos yra saugumo spragų panaikinimas, galutinio vartotojo matomumo ir kontrolės didinimas (pvz., kurios svetainės leidžia paleisti plėtinius) ir neperžiūrimo kodo uždraudimas plėtiniuose“, – sakė Bobrovas. sakė. „Kai kurie iš šių pakeitimų yra įtraukti į „Google“ manifestą V3. Tačiau nė vienas iš šių pakeitimų nepakeičia plėtiniams prieinamų leidimų.