Βασικά Takeaways
- Η πλειονότητα των επεκτάσεων στο Chrome Web Store απαιτεί επικίνδυνες άδειες που μπορούν να χρησιμοποιηθούν για κακόβουλους σκοπούς.
- Όλα τα προγράμματα περιήγησης ιστού προσπαθούν να αντιμετωπίσουν το πρόβλημα των παράξενων επεκτάσεων.
- Το Manifest V3 της Google είναι μια τέτοια λύση που αντιμετωπίζει ορισμένα ζητήματα, αλλά δεν κυριαρχεί στα δικαιώματα που είναι διαθέσιμα στις επεκτάσεις.
Θυμάστε αυτή την επέκταση προγράμματος περιήγησης ορθογραφικού ελέγχου που ζητούσε δικαιώματα ανάγνωσης και ανάλυσης όλων όσων πληκτρολογείτε; Οι ειδικοί στον τομέα της κυβερνοασφάλειας προειδοποιούν ότι υπάρχει μεγάλη πιθανότητα ορισμένες επεκτάσεις να κάνουν κατάχρηση της συγκατάθεσής σας για να κλέψουν τους κωδικούς πρόσβασης που εισάγετε στο πρόγραμμα περιήγησης ιστού.
Για να βοηθήσει τους χρήστες να εκτιμήσουν τους κινδύνους των επεκτάσεων ιστού, η εταιρεία ψηφιακής ασφάλειας Talon ανέλυσε το Chrome Web Store για να αναφέρει ότι δεκάδες χιλιάδες επεκτάσεις έχουν πρόσβαση σε ανησυχητικά δικαιώματα, όπως η δυνατότητα αλλαγής δεδομένων σε όλους τους ιστότοπους που επισκέπτονται, λήψη αρχείων, πρόσβαση στη δραστηριότητα λήψης και πολλά άλλα.
«Πολλές δημοφιλείς επεκτάσεις θέτουν τους χρήστες σε κίνδυνο», εξήγησε στο Lifewire μέσω email ο συνιδρυτής και CTO της Talon Cyber Security Ohad Bobrov. «[Ακόμη και] οι καλοήθεις επεκτάσεις μπορεί να έχουν ευπάθειες στον κώδικά τους ή στην αλυσίδα εφοδιασμού και μπορεί να είναι επιρρεπείς σε εξαγορές από κακόβουλους παράγοντες.»
Wayward Extensions
Το Talon υποστηρίζει ότι οι επεκτάσεις προσφέρουν μεγάλη αξία στους χρήστες τους και φέρνουν μια σειρά από χρήσιμες λειτουργίες στα προγράμματα περιήγησης ιστού, όπως ο αποκλεισμός διαφημίσεων, ο ορθογραφικός έλεγχος, η διαχείριση κωδικού πρόσβασης και άλλα. Ωστόσο, για να φέρουν αυτές οι λειτουργίες, οι επεκτάσεις απαιτούν ευρείες άδειες για την τροποποίηση του προγράμματος περιήγησης, της συμπεριφοράς του και των ιστοτόπων που επισκέπτεστε.
"Φυσικά, αυτό το επίπεδο ελέγχου και πρόσβασης από τρίτους παράγοντες μπορεί να αποτελέσει σημαντικές απειλές για την ασφάλεια και το απόρρητο για τους χρήστες", εξήγησε ο Talon.
Η εταιρεία προσθέτει ότι παρά τη διαδικασία ελέγχου της Google, πολλές κακόβουλες επεκτάσεις καταφέρνουν να ξεφύγουν από τα κενά και τελικά να επηρεάσουν αρνητικά εκατομμύρια χρήστες. Η ανάλυσή του αποκάλυψε ότι πάνω από το 60% όλων των επεκτάσεων στο Chrome Web Store έχουν δικαιώματα ανάγνωσης ή αλλαγής δεδομένων και δραστηριότητας χρήστη.
Για παράδειγμα, ο Talon λέει ότι οι έλεγχοι ορθογραφίας και γραμματικής ζητούν άδεια να εισάγουν σενάρια που εκτελούνται από το περιβάλλον της ιστοσελίδας για να αναλύσουν το κείμενο του χρήστη. Αυτό το κάνουν συνήθως επιθεωρώντας τα πεδία εισαγωγής ή καταγράφοντας τα πλήκτρα του χρήστη με άλλα μέσα. Η εταιρεία λέει ότι αυτό επιτρέπει αποτελεσματικά στις επεκτάσεις να συλλέγουν και να διεισδύουν οποιεσδήποτε πληροφορίες στην ιστοσελίδα, συμπεριλαμβανομένων κωδικών πρόσβασης και άλλων ευαίσθητων δεδομένων.
Έπειτα, υπάρχει ο αποκλεισμός διαφημίσεων, ο οποίος αποτελεί μερικές από τις κορυφαίες επεκτάσεις του Chrome Web Store. Αυτή η λειτουργία περιλαμβάνει την αφαίρεση στοιχείων από τη σελίδα και απαιτεί τα ίδια δικαιώματα με τους ορθογραφικούς ελέγχους.
Είναι άγνωστο ποια δεδομένα διείσδυσαν, αλλά θα μπορούσε ενδεχομένως να είχε κλέψει οτιδήποτε από οποιαδήποτε σελίδα, συμπεριλαμβανομένων των κωδικών πρόσβασης.
Ομοίως, τα δικαιώματα που χορηγούνται για κοινή χρήση οθόνης και επεκτάσεις βιντεοδιάσκεψης για την εκτέλεση της αποστολής τους, μπορούν επίσης να χρησιμοποιηθούν για την καταγραφή της οθόνης και του ήχου του χρήστη.
"Βρέθηκαν δύο ευπάθειες στο uBlock Origin τους τελευταίους μήνες, οι οποίες επέτρεψαν στους εισβολείς να εκμεταλλευτούν την άδεια της επέκτασης να διαβάζουν και να αλλάζουν δεδομένα σε όλους τους ιστότοπους και να κλέβουν ευαίσθητες πληροφορίες χρήστη", μας είπε ο Bobrov.
Τα προγράμματα αποκλεισμού διαφημίσεων όπως το uBlock Origin είναι εξαιρετικά δημοφιλή και συνήθως έχουν πρόσβαση σε κάθε σελίδα που επισκέπτεται ένας χρήστης. Πίσω από τη σκηνή, τροφοδοτούνται από λίστες φίλτρων που παρέχονται από την κοινότητα - επιλογείς CSS που υπαγορεύουν ποια στοιχεία να αποκλείονται. οι λίστες δεν είναι απολύτως αξιόπιστες, επομένως περιορίζονται να αποτρέψουν κακόβουλους κανόνες από την κλοπή δεδομένων χρηστών», έγραψε ο ερευνητής ασφαλείας Gareth Heyes, καθώς έδειξε ότι χρησιμοποιεί τρωτά σημεία στην επέκταση για την κλοπή κωδικών πρόσβασης.
Ο Bobrov μοιράστηκε επίσης ότι το 2019 η δημοφιλής επέκταση The Great Suspender, η οποία είχε πάνω από δύο εκατομμύρια χρήστες, αγοράστηκε από έναν κακόβουλο ηθοποιό, ο οποίος συνέχισε να εκμεταλλεύεται τις άδειές του για να εισάγει σενάρια για να τρέξει κώδικα που δεν έχει ελεγχθεί και φιλοξενείται από απόσταση. σε ιστοσελίδες.
"Είναι άγνωστο ποια δεδομένα διηθήθηκαν", είπε, "αλλά θα μπορούσε ενδεχομένως να είχε κλέψει οτιδήποτε από οποιαδήποτε σελίδα, συμπεριλαμβανομένων των κωδικών πρόσβασης."
Καμία πραγματική λύση
Bobrov λέει ότι το Chrome και σχεδόν όλα τα άλλα κορυφαία προγράμματα περιήγησης ιστού εργάζονται για να περιορίσουν τον κίνδυνο ασφάλειας που ενέχουν οι επεκτάσεις, όχι μόνο βελτιώνοντας τη διαδικασία ελέγχου τους αλλά και περιορίζοντας ορισμένες από τις δυνατότητες των επεκτάσεων.
Ένα τέτοιο πρόσφατο βήμα που επισημαίνει ο Bobrov είναι το Manifest V3 της Google. Λέει ότι για τον μέσο χρήστη, η πιο αξιοσημείωτη διαφορά που θα έφερνε το Manifest V3 στις επεκτάσεις είναι η πλήρης απαγόρευση του απομακρυσμένου φιλοξενούμενου κώδικα και μια αλλαγή στον τρόπο με τον οποίο οι επεκτάσεις τροποποιούν τα αιτήματα ιστού. Ωστόσο, προσθέτει ότι από την πλευρά του, το Manifest V3 έχει επικριθεί επειδή παρεμποδίζει σοβαρά τους αποκλεισμούς διαφημίσεων.
"Οι πιο σημαντικές τάσεις είναι το κλείσιμο των κενών ασφαλείας, η αύξηση της ορατότητας και του ελέγχου του τελικού χρήστη (π.χ. ποιοι ιστότοποι επιτρέπουν την εκτέλεση επεκτάσεων) και η απαγόρευση του μη αναθεωρήσιμου κώδικα από επεκτάσεις", είπε ο Bobrov. "Ορισμένες από αυτές τις αλλαγές περιλαμβάνονται στο Manifest V3 της Google. Ωστόσο, καμία από αυτές τις αλλαγές δεν αλλάζει δραματικά τα δικαιώματα που είναι διαθέσιμα στις επεκτάσεις."