Sleutel wegneemetes
- 'n meerderheid van uitbreidings op die Chrome Webwinkel vereis gevaarlike toestemmings wat vir kwaadwillige doeleindes misbruik kan word.
- Alle webblaaiers probeer die probleem van eiesinnige uitbreidings aanpak.
- Google se Manifest V3 is een so 'n oplossing wat sommige kwessies aanpak, maar min doen om te regeer in die toestemmings wat vir die uitbreidings beskikbaar is.
Onthou jy daardie speltoets-blaaieruitbreiding wat vir toestemming gevra het om alles wat jy tik te lees en te ontleed? Kuberveiligheidsdeskundiges waarsku dat daar 'n groot kans is dat sommige uitbreidings jou toestemming misbruik om die wagwoorde wat jy in die webblaaier indruk, te steel.
Om gebruikers te help om die gevare van webuitbreidings te besef, het die digitale sekuriteitsmaatskappy Talon die Chrome Webwinkel ontleed om te rapporteer dat tienduisende uitbreidings toegang het tot kommerwekkende toestemmings, soos die vermoë om data op alle besoekte werwe te verander, laai lêers af, kry toegang tot aflaaiaktiwiteit, en meer.
“Baie gewilde uitbreidings plaas gebruikers in gevaar,” het medestigter en CTO van Talon Cyber Security Ohad Bobrov per e-pos aan Lifewire verduidelik. “[Selfs] goedaardige uitbreidings kan kwesbaarhede in hul kode, of voorsieningsketting hê, en kan vatbaar wees vir oornames deur kwaadwillige akteurs.”
Wayward Extensions
Talon voer aan dat uitbreidings groot waarde vir hul gebruikers bied, en 'n magdom nuttige kenmerke na die webblaaiers bring, soos advertensieblokkering, speltoetsing, wagwoordbestuur, en meer. Om hierdie funksies te bring, benodig die uitbreidings egter breë toestemmings om die blaaier, sy gedrag en die besoekte webwerwe te verander.
“Natuurlik kan hierdie vlak van beheer en toegang van derdeparty-akteurs beduidende sekuriteit- en privaatheidbedreigings vir die gebruikers inhou,” het Talon verduidelik.
Die maatskappy voeg by dat, ten spyte van Google se keuringsproses, baie kwaadwillige uitbreidings daarin slaag om deur die gapings te glip en uiteindelik miljoene gebruikers nadelig te beïnvloed. Die ontleding daarvan het aan die lig gebring dat meer as 60% van alle uitbreidings op die Chrome Webwinkel toestemmings het om gebruikersdata en -aktiwiteit te lees of te verander.
Talon sê byvoorbeeld spel- en grammatikatoetsers versoek toestemming om skrifte wat vanaf die konteks van die webblad loop, in te spuit om die gebruiker se teks te ontleed. Hulle doen dit gewoonlik deur die invoervelde te inspekteer of die gebruiker se toetsaanslagen op ander maniere aan te teken. Die maatskappy sê dit laat die uitbreidings effektief toe om enige inligting op die webblad te versamel en te eksfiltreer, insluitend wagwoorde en ander sensitiewe data.
Dan is daar advertensie-blokkering, wat sommige van die Chrome Webwinkel se top-uitbreidings uitmaak. Hierdie funksionaliteit behels die verwydering van elemente van die bladsy en vereis dieselfde toestemmings as speltoetsers.
Dit is onbekend watter data geëfiltreer is, maar dit kon moontlik enigiets van enige bladsy gesteel het, insluitend wagwoorde.
Net so kan die toestemmings wat verleen word vir skermdeling, en videokonferensie-uitbreidings om hul beoogde taak te verrig, ook misbruik word om die gebruiker se skerm en oudio vas te vang.
"Twee kwesbaarhede is in die laaste paar maande in uBlock Origin gevind, wat aanvallers in staat gestel het om die uitbreiding se toestemming te ontgin om data op alle werwe te lees en te verander en om sensitiewe gebruikerinligting te steel," het Bobrov vir ons gesê.
Advertensieblokkeerders soos uBlock Origin is uiters gewild en het gewoonlik toegang tot elke bladsy wat 'n gebruiker besoek. Agter die skerms word hulle aangedryf deur filterlyste wat deur die gemeenskap verskaf word - CSS-keurders wat bepaal watter elemente geblokkeer moet word. Hierdie lyste word nie heeltemal vertrou nie, so dit word beperk om te verhoed dat kwaadwillige reëls gebruikersdata steel,” het sekuriteitsnavorser Gareth Heyes geskryf terwyl hy gedemonstreer het dat hy kwesbaarhede in die uitbreiding gebruik om wagwoorde te steel.
Bobrov het ook gedeel dat die gewilde The Great Suspender-uitbreiding, wat meer as twee miljoen gebruikers gehad het, in 2019 deur 'n kwaadwillige akteur gekoop is, wat voortgegaan het om sy toestemmings uit te buit om skrifte in te spuit om ongekontroleerde kode op afstand te laat loop in webblaaie.
"Dit is onbekend watter data geëksfiltreer is," het hy gesê, "maar dit kon moontlik enigiets van enige bladsy gesteel het, insluitend wagwoorde."
Geen werklike oplossing
Bobrov sê dat Chrome en feitlik alle ander toonaangewende webblaaiers werk om die sekuriteitsrisiko wat uitbreidings inhou, te beperk, nie net deur hul keuringsproses te verbeter nie, maar ook deur sommige van die uitbreidings se vermoëns te beperk.
Een so 'n onlangse stap wat Bobrov uitwys, is Google se Manifest V3. Hy sê dat die mees opvallende verskil Manifest V3 vir uitbreidings vir die gemiddelde gebruiker is 'n algehele verbod op kode wat op afstand aangebied word en 'n verskuiwing in die manier waarop uitbreidings webversoeke wysig. Hy voeg egter by dat Manifest V3 aan die negatiewe kant gekritiseer is omdat dit advertensieblokkeerders ernstig belemmer.
"Die belangrikste neigings is om sekuriteitsgapings toe te maak, eindgebruikers sigbaarheid en beheer te verhoog (bv. watter werwe uitbreidings toelaat om te loop), en die verbod op onhersienbare kode van uitbreidings," het Bobrov gesê. "Sommige van hierdie veranderinge word in Google se Manifest V3 ingesluit. Geeneen van hierdie veranderinge verander egter dramaties die toestemmings wat vir uitbreidings beskikbaar is nie."