Ključni podaci za van
- Većina proširenja u Chrome web-trgovini zahtijevaju opasne dozvole koje se mogu zloupotrijebiti u zlonamjerne svrhe.
- Svi web preglednici pokušavaju riješiti problem nestalnih proširenja.
- Googleov Manifest V3 jedno je takvo rješenje koje se bavi nekim problemima, ali čini malo da bi vladalo dopuštenjima dostupnim proširenjima.
Sjećate li se onog proširenja preglednika za provjeru pravopisa koje je tražilo dozvole za čitanje i analizu svega što upisujete? Stručnjaci za kibernetičku sigurnost upozoravaju da postoji velika vjerojatnost da neka proširenja zlorabe vaš pristanak za krađu lozinki koje ukucate u web preglednik.
Kako bi pomogla korisnicima da shvate opasnosti web ekstenzija, tvrtka za digitalnu sigurnost Talon analizirala je Chrome web trgovinu kako bi izvijestila da deseci tisuća ekstenzija imaju pristup zabrinjavajućim dozvolama, kao što je mogućnost promjene podataka na svim posjećenim stranicama, preuzimanje datoteka, pristup aktivnostima preuzimanja i više.
"Mnoga popularna proširenja ugrožavaju korisnike", objasnio je za Lifewire putem e-pošte Ohad Bobrov, suosnivač i tehnički direktor tvrtke Talon Cyber Security. "[Čak] i benigna proširenja mogu imati ranjivosti u svom kodu ili lancu opskrbe i mogu biti podložna preuzimanju od strane zlonamjernih aktera."
Wayward Extensions
Talon tvrdi da ekstenzije nude veliku vrijednost svojim korisnicima i donose niz korisnih značajki u web preglednike kao što su blokiranje oglasa, provjera pravopisa, upravljanje lozinkama i više. Međutim, kako bi omogućila ove funkcije, proširenja zahtijevaju široka dopuštenja za izmjenu preglednika, njegovog ponašanja i posjećenih web-mjesta.
"Naravno, ova razina kontrole i pristupa trećih strana može predstavljati značajnu prijetnju sigurnosti i privatnosti korisnika," objasnio je Talon.
Tvrtka dodaje da unatoč Googleovom postupku provjere, mnoga zlonamjerna proširenja uspijevaju proći kroz praznine i na kraju negativno utječu na milijune korisnika. Njegova je analiza otkrila da više od 60% svih proširenja u Chrome web-trgovini ima dozvole za čitanje ili promjenu korisničkih podataka i aktivnosti.
Na primjer, Talon kaže da alati za provjeru pravopisa i gramatike traže dopuštenje za ubacivanje skripti koje se pokreću iz konteksta web stranice kako bi analizirali tekst korisnika. To obično čine pregledom polja za unos ili bilježenjem korisničkih pritisaka tipki na neki drugi način. Tvrtka kaže da to ekstenzijama učinkovito omogućuje prikupljanje i ekstrakciju bilo kakvih informacija na web stranici, uključujući lozinke i druge osjetljive podatke.
Onda tu je i blokiranje oglasa, koje čini neka od najboljih proširenja Chrome web-trgovine. Ova funkcija uključuje uklanjanje elemenata sa stranice i zahtijeva iste dozvole kao i provjere pravopisa.
Nepoznato je koji su podaci eksfiltrirani, ali potencijalno je moglo ukrasti bilo što s bilo koje stranice, uključujući zaporke.
Slično tome, dopuštenja dodijeljena dijeljenju zaslona i proširenjima videokonferencije za obavljanje predviđenog zadatka također se mogu zloupotrijebiti za snimanje korisnikovog zaslona i zvuka.
"Dvije ranjivosti pronađene su u uBlock Originu u posljednjih nekoliko mjeseci, što je omogućilo napadačima da iskoriste dopuštenje ekstenzije za čitanje i promjenu podataka na svim stranicama te za krađu osjetljivih korisničkih informacija," rekao nam je Bobrov.
"Programi za blokiranje oglasa kao što je uBlock Origin iznimno su popularni i obično imaju pristup svakoj stranici koju korisnik posjeti. Iza kulisa ih pokreću popisi filtara koje daje zajednica - CSS birači koji određuju koje elemente treba blokirati. Ovi popisima se ne vjeruje u potpunosti, pa su ograničeni kako bi spriječili zlonamjerna pravila u krađi korisničkih podataka," napisao je istraživač sigurnosti Gareth Heyes dok je demonstrirao korištenje ranjivosti u proširenju za krađu lozinki.
Bobrov je također podijelio da je 2019. popularno proširenje The Great Suspender, koje je imalo više od dva milijuna korisnika, kupio zlonamjerni akter, koji je nastavio iskorištavati njegova dopuštenja za ubacivanje skripti za pokretanje nepregledanog, udaljenog hostiranog koda na web stranicama.
"Nepoznato je koji su podaci eksfiltrirani," rekao je, "ali moglo je potencijalno ukrasti bilo što s bilo koje stranice, uključujući zaporke."
Nema pravog rješenja
Bobrov kaže da Chrome i gotovo svi drugi vodeći web-preglednici rade na obuzdavanju sigurnosnog rizika koji predstavljaju proširenja, ne samo poboljšanjem procesa provjere već i ograničavanjem nekih mogućnosti proširenja.
Jedan takav nedavni korak Bobrov ističe je Googleov Manifest V3. Kaže da je za prosječnog korisnika najuočljivija razlika koju bi Manifest V3 donio ekstenzijama potpuna zabrana koda koji se hostira na daljinu i promjena u načinu na koji ekstenzije modificiraju web zahtjeve. Međutim, dodaje da je s negativne strane Manifest V3 kritiziran zbog ozbiljnog ometanja blokatora oglasa.
"Najznačajniji trendovi su uklanjanje sigurnosnih rupa, povećanje vidljivosti i kontrole krajnjeg korisnika (npr. koje stranice dopuštaju pokretanje proširenja) i zabrana koda koji se ne može pregledati iz proširenja", rekao je Bobrov. "Neke od ovih promjena obuhvaćene su Googleovim Manifestom V3. Međutim, nijedna od ovih promjena dramatično ne mijenja dopuštenja dostupna proširenjima."
