Vaše obľúbené rozšírenie prehliadača môže kradnúť vaše heslá

Pamätáte si to rozšírenie prehliadača na kontrolu pravopisu, ktoré žiadalo o povolenia na čítanie a analýzu všetkého, čo napíšete? Odborníci na kybernetickú bezpečnosť varujú, že existuje veľká šanca, že niektoré rozšírenia zneužívajú váš súhlas na ukradnutie hesiel, ktoré zadáte do webového prehliadača.

Spoločnosť Talon pre digitálnu bezpečnosť pomáha používateľom oceniť nebezpečenstvo webových rozšírení analyzoval Internetový obchod Chrome oznámi, že desiatky tisíc rozšírení majú prístup k znepokojujúcim povoleniam, ako napríklad možnosť meniť údaje na všetkých navštívených stránkach, sťahovať súbory, pristupovať k aktivite sťahovania a viac.

„Mnoho populárnych rozšírení vystavuje používateľov riziku,“ spoluzakladateľ a technický riaditeľ spoločnosti Talon Cyber ​​SecurityOhad Bobrov vysvetlil Lifewire e-mailom. „Dokonca aj benígne rozšírenia môžu mať zraniteľné miesta vo svojom kóde alebo dodávateľskom reťazci a môžu byť náchylné na prevzatie zákernými činiteľmi.“

Wayward Extensions

Talon tvrdí, že rozšírenia ponúkajú svojim používateľom veľkú hodnotu a do webových prehliadačov prinášajú množstvo užitočných funkcií, ako je blokovanie reklám, kontrola pravopisu, správa hesiel a ďalšie. Aby však rozšírenia mohli priniesť tieto funkcie, vyžadujú široké povolenia na úpravu prehliadača, jeho správania a navštívených webových stránok.

„Prirodzene, táto úroveň kontroly a prístupu od aktérov tretích strán môže pre používateľov predstavovať významné bezpečnostné a súkromie,“ vysvetlil Talon.

Spoločnosť dodáva, že napriek procesu preverovania spoločnosti Google sa mnohým škodlivým rozšíreniam podarí prekĺznuť cez medzery a nakoniec nepriaznivo ovplyvniť milióny používateľov. Jeho analýza odhalila, že viac ako 60 % všetkých rozšírení v Internetovom obchode Chrome má povolenia na čítanie alebo zmenu údajov a aktivity používateľa.

Talon napríklad hovorí, že kontrola pravopisu a gramatiky vyžaduje povolenie na vloženie skriptov, ktoré sa spúšťajú z kontextu webovej stránky na analýzu textu používateľa. Zvyčajne to robia tak, že kontrolujú vstupné polia alebo zaznamenávajú stlačenia klávesov používateľa iným spôsobom. Spoločnosť tvrdí, že to rozšíreniam efektívne umožňuje zhromažďovať a exfiltrovať akékoľvek informácie na webovej stránke vrátane heslá a iné citlivé údaje.

Potom je tu blokovanie reklám, ktoré tvoria niektoré z najlepších rozšírení Internetového obchodu Chrome. Táto funkcia zahŕňa odstraňovanie prvkov zo stránky a vyžaduje rovnaké povolenia ako pri kontrole pravopisu.

Povolenia udelené na zdieľanie obrazovky a rozšírenia pre videokonferencie na vykonanie ich zamýšľanej úlohy možno tiež zneužiť na zachytenie obrazovky používateľa a zvuku.

"Dva zraniteľnosti boli nájdené v uBlock Origin v posledných mesiacoch, čo útočníkom umožnilo zneužiť povolenie rozšírenia na čítanie a zmenu údajov na všetkých stránkach a na odcudzenie citlivých používateľských informácií,“ povedal nám Bobrov.

„Blokátory reklám ako uBlock Origin sú mimoriadne populárne a zvyčajne majú prístup ku každej stránke, ktorú používateľ navštívi. V zákulisí ich poháňajú komunitné zoznamy filtrov – selektory CSS, ktoré určujú, ktoré prvky sa majú blokovať. Tieto zoznamy nie sú úplne dôveryhodné, takže sú obmedzené, aby zabránili škodlivým pravidlám ukradnúť používateľské údaje,“ napísal bezpečnostný výskumník Gareth Heyes, ktorý demonštroval používanie zraniteľností v rozšírení na krádež hesiel.

Bobrov tiež zdieľal, že v roku 2019 populárne Veľký Suspender rozšírenie, ktoré malo viac ako dva milióny používateľov, kúpil zákerný hráč, ktorý využil jeho povolenia na vloženie skriptov na spúšťanie neskontrolovaného, ​​vzdialene hostovaného kódu na webových stránkach.

"Nie je známe, aké údaje boli exfiltrované," povedal, "ale potenciálne mohli ukradnúť čokoľvek z akejkoľvek stránky vrátane hesiel."

Žiadne skutočné riešenie

Bobrov hovorí, že Chrome a prakticky všetky ostatné popredné webové prehliadače sa snažia obmedziť bezpečnostné riziko, ktoré predstavuje rozšírenia, a to nielen zlepšením ich procesu preverovania, ale aj obmedzením niektorých schopností rozšírenia.

Jedným z takýchto nedávnych krokov, na ktoré Bobrov poukazuje, je Google Manifest V3. Hovorí, že pre bežného používateľa by najvýraznejší rozdiel priniesol Manifest V3 extensions je úplný zákaz vzdialene hosteného kódu a posun v spôsobe, akým rozšírenia upravujú web žiadosti. Dodáva však, že na druhej strane bol Manifest V3 kritizovaný za vážne obmedzovanie blokátorov reklám.

„Najvýraznejšími trendmi sú zatváranie bezpečnostných medzier, zvyšovanie viditeľnosti a kontroly koncových používateľov (napr. ktoré stránky povoľujú spúšťanie rozšírení) a zákaz neskontrolovateľného kódu v rozšíreniach,“ Bobrov povedal. „Niektoré z týchto zmien sú zahrnuté v Manifeste V3 spoločnosti Google. Žiadna z týchto zmien však dramaticky nemení povolenia dostupné pre rozšírenia.“