Twoje ulubione rozszerzenie przeglądarki może kraść Twoje hasła
Kluczowe dania na wynos
- Większość rozszerzeń w sklepie Chrome Web Store wymaga niebezpiecznych uprawnień, które mogą być wykorzystywane do złośliwych celów.
- Wszystkie przeglądarki internetowe próbują rozwiązać problem niesfornych rozszerzeń.
- Manifest V3 firmy Google jest jednym z takich rozwiązań, które rozwiązuje niektóre problemy, ale niewiele robi, aby rządzić uprawnieniami dostępnymi dla rozszerzeń.
NicoElNino / Getty Images
Pamiętasz to rozszerzenie przeglądarki do sprawdzania pisowni, które prosiło o uprawnienia do czytania i analizowania wszystkiego, co piszesz? Eksperci ds. cyberbezpieczeństwa ostrzegają, że istnieje duże prawdopodobieństwo, że niektóre rozszerzenia nadużywają Twojej zgody w celu kradzieży haseł wprowadzanych do przeglądarki internetowej.
Aby pomóc użytkownikom docenić niebezpieczeństwa rozszerzeń internetowych, firma Talon. zajmująca się bezpieczeństwem cyfrowym przeanalizował Chrome Web Store, aby zgłosić, że dziesiątki tysięcy rozszerzeń mają dostęp do niepokojących uprawnień, takie jak możliwość zmiany danych na wszystkich odwiedzanych witrynach, pobierania plików, dostępu do aktywności pobierania i jeszcze.
„Wiele popularnych rozszerzeń naraża użytkowników na ryzyko”, współzałożyciel i CTO of Cyberbezpieczeństwo TalonOhad Bobrov wyjaśniono Lifewire przez e-mail. „[Nawet] łagodne rozszerzenia mogą mieć luki w swoim kodzie lub łańcuchu dostaw i mogą być podatne na przejęcie przez złośliwych graczy”.
Przewrotne rozszerzenia
skylarge / 32 obrazy / Pixabay
Talon twierdzi, że rozszerzenia oferują użytkownikom ogromną wartość i zapewniają przeglądarkom internetowym wiele przydatnych funkcji, takich jak blokowanie reklam, sprawdzanie pisowni, zarządzanie hasłami i wiele innych. Jednak w celu udostępnienia tych funkcji rozszerzenia wymagają szerokich uprawnień do modyfikowania przeglądarki, jej zachowania i odwiedzanych witryn.
„Oczywiście ten poziom kontroli i dostępu ze strony podmiotów zewnętrznych może stanowić poważne zagrożenie dla bezpieczeństwa i prywatności użytkowników” – wyjaśnił Talon.
Firma dodaje, że pomimo procesu weryfikacji Google, wielu złośliwym rozszerzeniom udaje się prześlizgnąć przez luki i ostatecznie negatywnie wpływać na miliony użytkowników. Jego analiza wykazała, że ponad 60% wszystkich rozszerzeń w Chrome Web Store ma uprawnienia do odczytu lub zmiany danych i aktywności użytkownika.
Na przykład Talon twierdzi, że moduły sprawdzania pisowni i gramatyki żądają pozwolenia na wstrzykiwanie skryptów uruchamianych z kontekstu strony internetowej w celu analizy tekstu użytkownika. Robią to zwykle, sprawdzając pola wejściowe lub rejestrując naciśnięcia klawiszy użytkownika w inny sposób. Firma twierdzi, że skutecznie pozwala to rozszerzeniom zbierać i wydobywać wszelkie informacje ze strony internetowej, w tym hasła i inne wrażliwe dane.
Następnie jest blokowanie reklam, które stanowi niektóre z najlepszych rozszerzeń Chrome Web Store. Ta funkcja polega na usuwaniu elementów ze strony i wymaga tych samych uprawnień, co moduły sprawdzania pisowni.
„Nie wiadomo, jakie dane zostały eksfiltrowane, ale potencjalnie mogło ukraść wszystko z dowolnej strony, w tym hasła”.
Podobnie uprawnienia przyznane rozszerzeniom udostępniania ekranu i wideokonferencji w celu wykonania zamierzonego zadania mogą być również niewłaściwie wykorzystywane do przechwytywania ekranu i dźwięku użytkownika.
"Dwa luki zostały znalezione w uBlock Origin w ciągu ostatnich kilku miesięcy, co pozwoliło napastnikom wykorzystać uprawnienia rozszerzenia do odczytywania i zmieniania danych we wszystkich witrynach oraz do kradzieży poufnych informacji o użytkownikach” — powiedział nam Bobrov.
„Blokowanie reklam, takie jak uBlock Origin, są niezwykle popularne i zazwyczaj mają dostęp do każdej strony odwiedzanej przez użytkownika. Za kulisami są one zasilane przez dostarczone przez społeczność listy filtrów — selektory CSS, które dyktują, które elementy mają być blokowane. Te listy nie są w pełni zaufane, więc są ograniczone, aby uniemożliwić złośliwym regułom kradzież danych użytkownika” napisał badacz bezpieczeństwa Gareth Heyes, który zademonstrował wykorzystanie luk w rozszerzeniu do kradzieży haseł.
Bobrov podzielił się również tym, że w 2019 roku popularna Wielki Pończoch Rozszerzenie, które miało ponad dwa miliony użytkowników, zostało zakupione przez złośliwego aktora, który następnie wykorzystał jego uprawnienia do wstrzykiwania skryptów w celu uruchamiania niesprawdzonego, zdalnie hostowanego kodu na stronach internetowych.
„Nie wiadomo, jakie dane zostały wykradzione”, powiedział, „ale mogło to potencjalnie ukraść wszystko z dowolnej strony, w tym hasła”.
Brak prawdziwego rozwiązania
Richy Świetny / Unsplash
Bobrov mówi, że Chrome i praktycznie wszystkie inne wiodące przeglądarki internetowe pracują nad ograniczeniem zagrożenia bezpieczeństwa stwarzanego przez rozszerzenia, nie tylko poprzez usprawnienie procesu weryfikacji, ale także poprzez ograniczenie niektórych możliwości rozszerzenia.
Jednym z takich ostatnich kroków, na które wskazuje Bobrov, jest Google Manifest V3. Mówi, że dla przeciętnego użytkownika najbardziej zauważalną różnicę przyniesie Manifest V3: Rozszerzenia to całkowity zakaz zdalnego hostowania kodu i zmiana w sposobie, w jaki rozszerzenia modyfikują sieć upraszanie. Dodaje jednak, że z drugiej strony Manifest V3 został skrytykowany za poważne utrudnianie blokowania reklam.
„Najważniejsze trendy to zamykanie luk w zabezpieczeniach, zwiększanie widoczności i kontroli użytkownika końcowego (np. które witryny zezwalają na uruchamianie rozszerzeń) i zabrania niesprawdzania kodu z rozszerzeń”, Bobrov powiedział. „Niektóre z tych zmian są zawarte w Manifest V3 Google. Jednak żadna z tych zmian nie zmienia radykalnie uprawnień dostępnych dla rozszerzeń”.