Kluczowe dania na wynos
- Większość rozszerzeń w sklepie Chrome Web Store wymaga niebezpiecznych uprawnień, które mogą zostać wykorzystane do złych celów.
- Wszystkie przeglądarki internetowe próbują rozwiązać problem niesfornych rozszerzeń.
- Manifest V3 firmy Google to jedno z takich rozwiązań, które rozwiązuje niektóre problemy, ale w niewielkim stopniu wpływa na uprawnienia dostępne dla rozszerzeń.
Pamiętasz to rozszerzenie przeglądarki do sprawdzania pisowni, które prosiło o uprawnienia do czytania i analizowania wszystkiego, co piszesz? Eksperci ds. cyberbezpieczeństwa ostrzegają, że istnieje duże prawdopodobieństwo, że niektóre rozszerzenia nadużywają Twojej zgody w celu kradzieży haseł wprowadzanych do przeglądarki internetowej.
Aby pomóc użytkownikom docenić niebezpieczeństwa związane z rozszerzeniami internetowymi, firma Talon zajmująca się bezpieczeństwem cyfrowym przeanalizowała Chrome Web Store, aby zgłosić, że dziesiątki tysięcy rozszerzeń mają dostęp do niepokojących uprawnień, takich jak możliwość zmiany danych we wszystkich odwiedzanych witrynach, pobieranie plików, dostęp do aktywności pobierania i nie tylko.
„Wiele popularnych rozszerzeń naraża użytkowników na ryzyko” – wyjaśnił Lifewire współzałożyciel i dyrektor ds. technologii Talon Cyber Security, Ohad Bobrov. „[Nawet] łagodne rozszerzenia mogą mieć luki w kodzie lub łańcuchu dostaw i mogą być podatne na przejęcie przez złośliwych graczy”.
Nieskrępowane rozszerzenia
Talon twierdzi, że rozszerzenia oferują użytkownikom dużą wartość i zapewniają przeglądarkom internetowym wiele przydatnych funkcji, takich jak blokowanie reklam, sprawdzanie pisowni, zarządzanie hasłami i wiele innych. Jednak, aby zapewnić te funkcje, rozszerzenia wymagają szerokich uprawnień do modyfikowania przeglądarki, jej zachowania i odwiedzanych witryn.
„Oczywiście ten poziom kontroli i dostępu ze strony podmiotów zewnętrznych może stanowić poważne zagrożenie dla bezpieczeństwa i prywatności użytkowników”, wyjaśnił Talon.
Firma dodaje, że pomimo procesu weryfikacji Google, wielu złośliwym rozszerzeniom udaje się prześlizgnąć przez luki i ma negatywny wpływ na miliony użytkowników. Jego analiza wykazała, że ponad 60% wszystkich rozszerzeń w Chrome Web Store ma uprawnienia do odczytu lub zmiany danych i aktywności użytkownika.
Na przykład Talon mówi, że moduły sprawdzania pisowni i gramatyki żądają pozwolenia na wstrzykiwanie skryptów uruchamianych z kontekstu strony internetowej w celu analizy tekstu użytkownika. Robią to zwykle, sprawdzając pola wejściowe lub rejestrując naciśnięcia klawiszy użytkownika w inny sposób. Firma twierdzi, że skutecznie pozwala to rozszerzeniom na zbieranie i wydobywanie wszelkich informacji ze strony internetowej, w tym haseł i innych poufnych danych.
Do tego dochodzi blokowanie reklam, które jest jednym z najpopularniejszych rozszerzeń Chrome Web Store. Ta funkcja polega na usuwaniu elementów ze strony i wymaga tych samych uprawnień, co moduły sprawdzania pisowni.
Nie wiadomo, jakie dane zostały wykradzione, ale potencjalnie mogło ukraść wszystko z dowolnej strony, w tym hasła.
Podobnie uprawnienia przyznane rozszerzeniom udostępniania ekranu i wideokonferencji w celu wykonania zamierzonego zadania mogą być również niewłaściwie używane do przechwytywania ekranu i dźwięku użytkownika.
„W ciągu ostatnich kilku miesięcy w uBlock Origin znaleziono dwie luki, które pozwoliły atakującym wykorzystać pozwolenie rozszerzenia do odczytu i zmiany danych we wszystkich witrynach oraz do kradzieży poufnych informacji użytkownika”, powiedział nam Bobrov.
Blokady reklam, takie jak uBlock Origin, są niezwykle popularne i zazwyczaj mają dostęp do każdej strony odwiedzanej przez użytkownika. Za kulisami są one zasilane przez dostarczone przez społeczność listy filtrów - selektory CSS, które dyktują, które elementy mają być blokowane. Listy nie są całkowicie zaufane, więc są ograniczone, aby zapobiec kradzieży danych użytkownika przez złośliwe reguły” – napisał badacz bezpieczeństwa Gareth Heyes, demonstrując wykorzystanie luk w rozszerzeniu do kradzieży haseł.
Bobrov podzielił się również, że w 2019 roku popularne rozszerzenie The Great Suspender, które miało ponad dwa miliony użytkowników, zostało zakupione przez złośliwego aktora, który następnie wykorzystał jego uprawnienia do wstrzykiwania skryptów w celu uruchomienia niesprawdzonego, zdalnie hostowanego kodu na stronach internetowych.
"Nie wiadomo, jakie dane zostały wykradzione", powiedział, "ale mogło to potencjalnie ukraść wszystko z dowolnej strony, w tym hasła."
Brak prawdziwego rozwiązania
Bobrov twierdzi, że Chrome i praktycznie wszystkie inne wiodące przeglądarki internetowe starają się ograniczyć zagrożenie bezpieczeństwa stwarzane przez rozszerzenia, nie tylko poprzez usprawnienie procesu weryfikacji, ale także ograniczenie niektórych możliwości rozszerzeń.
Jednym z takich ostatnich kroków, na które wskazuje Bobrov, jest Manifest V3 firmy Google. Mówi, że dla przeciętnego użytkownika najbardziej zauważalną różnicą, jaką Manifest V3 wprowadzi do rozszerzeń, jest całkowity zakaz zdalnego hostowania kodu i zmiana sposobu, w jaki rozszerzenia modyfikują żądania internetowe. Dodaje jednak, że z drugiej strony Manifest V3 został skrytykowany za poważne utrudnianie blokowania reklam.
„Najważniejszymi trendami są zamykanie luk w zabezpieczeniach, zwiększanie widoczności i kontroli użytkownika końcowego (np. które witryny pozwalają na uruchamianie rozszerzeń) oraz blokowanie niesprawdzanego kodu z rozszerzeń” – powiedział Bobrov. „Niektóre z tych zmian są zawarte w Manifest V3 Google. Jednak żadna z tych zmian nie zmienia radykalnie uprawnień dostępnych dla rozszerzeń. „