Uw favoriete browserextensie kan uw wachtwoorden stelen

Weet je nog die browserextensie voor spellingcontrole die toestemming vroeg om alles wat je typt te lezen en analyseren? Experts op het gebied van cyberbeveiliging waarschuwen dat de kans groot is dat sommige extensies uw toestemming misbruiken om de wachtwoorden te stelen die u in de webbrowser invoert.

Om gebruikers te helpen de gevaren van webextensies te begrijpen, heeft het digitale beveiligingsbedrijf Talon heeft geanalyseerd de Chrome Web Store om te melden dat tienduizenden extensies toegang hebben tot zorgwekkende machtigingen, zoals de mogelijkheid om gegevens op alle bezochte sites te wijzigen, bestanden te downloaden, toegang te krijgen tot downloadactiviteit en meer.

"Veel populaire extensies brengen gebruikers in gevaar", mede-oprichter en CTO van Talon Cyber ​​SecurityOhad Bobrov uitgelegd aan Lifewire via e-mail. "[Zelfs] goedaardige extensies kunnen kwetsbaarheden hebben in hun code of toeleveringsketen, en kunnen vatbaar zijn voor overnames door kwaadwillende actoren."

Eigenzinnige extensies

Talon stelt dat extensies grote waarde bieden aan hun gebruikers en een groot aantal handige functies voor de webbrowsers bieden, zoals ad-blocking, spellingcontrole, wachtwoordbeheer en meer. Om deze functionaliteiten te kunnen bieden, hebben de extensies echter brede machtigingen nodig om de browser, het gedrag en de bezochte websites te wijzigen.

"Natuurlijk kan dit niveau van controle en toegang van externe actoren aanzienlijke beveiligings- en privacybedreigingen vormen voor de gebruikers", legt Talon uit.

Het bedrijf voegt eraan toe dat, ondanks het doorlichtingsproces van Google, veel kwaadaardige extensies erin slagen door de gaten te glippen en uiteindelijk een negatief effect hebben miljoenen gebruikers. Uit de analyse bleek dat meer dan 60% van alle extensies in de Chrome Web Store machtigingen hebben om gebruikersgegevens en activiteiten te lezen of te wijzigen.

Talon zegt bijvoorbeeld dat spelling- en grammaticacontroles toestemming vragen om scripts te injecteren die vanuit de context van de webpagina worden uitgevoerd om de tekst van de gebruiker te analyseren. Ze doen dit meestal door de invoervelden te inspecteren of de toetsaanslagen van de gebruiker op een andere manier vast te leggen. Het bedrijf zegt dat dit de extensies in staat stelt om alle informatie op de webpagina te verzamelen en te exfiltreren, inclusief: wachtwoorden en andere gevoelige gegevens.

Dan is er het blokkeren van advertenties, dat deel uitmaakt van enkele van de beste extensies van de Chrome Web Store. Deze functionaliteit omvat het verwijderen van elementen van de pagina en vereist dezelfde rechten als spellingcontrole.

Evenzo kunnen de machtigingen die zijn verleend voor het delen van schermen en videoconferentie-uitbreidingen om hun beoogde taak uit te voeren, ook worden misbruikt om het scherm en de audio van de gebruiker vast te leggen.

"Twee kwetsbaarheden werden gevonden in uBlock Oorsprong in de afgelopen maanden, waardoor aanvallers de toestemming van de extensie konden misbruiken om gegevens op alle sites te lezen en te wijzigen en om gevoelige gebruikersinformatie te stelen”, vertelde Bobrov ons.

“Adblockers zoals uBlock Origin zijn enorm populair en hebben doorgaans toegang tot elke pagina die een gebruiker bezoekt. Achter de schermen worden ze aangedreven door door de gemeenschap geleverde filterlijsten - CSS-selectors die bepalen welke elementen moeten worden geblokkeerd. Deze lijsten zijn niet helemaal vertrouwd, dus ze zijn beperkt om te voorkomen dat kwaadaardige regels gebruikersgegevens stelen,” schreef beveiligingsonderzoeker Gareth Heyes terwijl hij aantoonde dat hij kwetsbaarheden in de extensie gebruikte om wachtwoorden te stelen.

Bobrov deelde ook dat in 2019 de populaire De grote bretel extensie, die meer dan twee miljoen gebruikers had, werd gekocht door een kwaadwillende acteur, die zijn toestemmingen misbruikte om scripts te injecteren om niet-beoordeelde, op afstand gehoste code in webpagina's uit te voeren.

"Het is niet bekend welke gegevens zijn geëxfiltreerd," zei hij, "maar het kan mogelijk alles van elke pagina hebben gestolen, inclusief wachtwoorden."

Geen echte oplossing

Bobrov zegt dat Chrome en vrijwel alle andere toonaangevende webbrowsers eraan werken om het beveiligingsrisico van uitbreidingen, niet alleen door hun doorlichtingsproces te verbeteren, maar ook door enkele van de mogelijkheden van de uitbreidingen.

Een van die recente stappen waar Bobrov op wijst, is die van Google Manifest V3. Hij zegt dat voor de gemiddelde gebruiker het meest opvallende verschil dat Manifest V3 zou opleveren: extensies is een volledig verbod op op afstand gehoste code en een verschuiving in de manier waarop extensies web wijzigen verzoeken. Hij voegt er echter aan toe dat Manifest V3 bekritiseerd is omdat het adblockers ernstig belemmert.

“De belangrijkste trends zijn het dichten van beveiligingslacunes, het vergroten van de zichtbaarheid en controle van de eindgebruiker (bijvoorbeeld op welke sites extensies mogen worden uitgevoerd) en het verbieden van niet-beoordeelbare code van extensies,” Bobrov zei. “Sommige van deze wijzigingen zijn opgenomen in Google's Manifest V3. Geen van deze wijzigingen verandert echter drastisch de rechten die beschikbaar zijn voor extensies.“