Singapūra, Singapūra, 2024. gada 3. oktobris, CyberNewsWire
Pasākumā DEF CON 32 SquareX pētnieku grupa sniedza skarbu prezentāciju ar nosaukumu Sneaky Extensions: The MV3 Escape Artists, kurā viņi dalījās ar saviem atklājumiem par to, kā ļaunprātīgi pārlūkprogrammas paplašinājumi apiet Google jaunāko standartu hroma paplašinājumu veidošanai: Manifest V3 (MV3) drošības funkcijas, pakļaujot riskam miljoniem lietotāju un uzņēmumu.
SquareX pētnieku komanda publiski demonstrēja negodīgus paplašinājumus, kas veidoti uz MV3. Galvenie atklājumi ietver:
- Paplašinājumi var nozagt tiešraides video straumes, piemēram, no Google Meet un Zoom Web, neprasot īpašas atļaujas.
- Negodīgie paplašinājumi var darboties lietotāja vārdā, lai pievienotu līdzstrādniekus privātajām GitHub krātuvēm.
- Paplašinājumi var piesaistīt pieteikšanās notikumus, lai novirzītu lietotājus uz lapu, kas ir slēpta kā paroļu pārvaldnieka pieteikšanās.
- Paplašinājumi, kas izveidoti uz MV3, var viegli nozagt vietņu sīkfailus, pārlūkošanas vēsturi, grāmatzīmes un lejupielāžu vēsturi, tāpat kā to MV2 kolēģi.
- Negodīgie paplašinājumi var pievienot aktīvajai tīmekļa lapai uznirstošos logus, piemēram, viltotus programmatūras atjaunināšanas uzvednes, kas liek lietotājiem lejupielādēt ļaunprātīgu programmatūru.
Pārlūkprogrammu paplašinājumi jau sen ir bijuši ļaunprātīgu dalībnieku mērķis — Stenfordas universitātes ziņojumā lēsts, ka pēdējos gados ir instalēti 280 miljoni ļaunprātīgu Chrome paplašinājumu. Google ir cīnījies, lai atrisinātu šo problēmu, bieži paļaujoties uz neatkarīgiem pētniekiem, lai identificētu ļaunprātīgus paplašinājumus. Dažos gadījumos Google ir nācies tos manuāli noņemt, piemēram, pagājušā gada jūnijā noņemtie 32 paplašinājumi. Līdz brīdim, kad tie tika noņemti, šie paplašinājumi jau bija instalēti 75 miljonus reižu.
Lielākā daļa šo problēmu radās tāpēc, ka Chrome paplašinājuma standartā Manifest Version 2 (MV2) bija nepilnības, kas paplašinājumiem piešķīra pārmērīgas atļaujas un ļāva skriptus ievadīt lidojumā, bieži vien bez lietotāju ziņas. Tas ļāva ļaunprātīgiem dalībniekiem viegli izmantot šīs ievainojamības, lai nozagtu datus, ievadītu ļaunprātīgu programmatūru un piekļūtu sensitīvai informācijai. MV3 tika ieviests, lai risinātu šīs problēmas, pastiprinot drošību, ierobežojot atļaujas un pieprasot paplašinājumiem iepriekš deklarēt savus skriptus.
Tomēr SquareX pētījumi liecina, ka MV3 neatbilst daudzām kritiskām jomām, parādot, kā uzbrucēji joprojām spēj izmantot minimālas atļaujas, lai veiktu ļaunprātīgas darbības. Gan atsevišķi lietotāji, gan uzņēmumi ir pakļauti pat jaunākajai MV3 sistēmai.
Mūsdienu drošības risinājumiem, piemēram, galapunkta drošībai, SASE/SSE un Secure Web Gateways (SWG), nav redzami instalētie pārlūkprogrammas paplašinājumi. Pašlaik nav izstrādāta rīka vai platformas, kas spētu dinamiski instrumentēt šos paplašinājumus, atstājot uzņēmumus bez iespējas precīzi novērtēt, vai paplašinājums ir drošs vai ļaunprātīgs.
SquareX ir apņēmies nodrošināt visaugstākā līmeņa kiberdrošības aizsardzību uzņēmumiem un ir izveidojis galvenās novatoriskās funkcijas, lai atrisinātu šo problēmu, tostarp:
- Precīzas politikas, lai izlemtu, kurus paplašinājumus atļaut/bloķēt, un parametri ietver paplašinājuma atļaujas, izveides datumu, pēdējo atjauninājumu, atsauksmes, vērtējumus, lietotāju skaitu, autora atribūtus utt.
- SquareX izpildes laikā bloķē paplašinājumu nosūtītos tīkla pieprasījumus — pamatojoties uz politikām, heiristikas un mašīnmācīšanās ieskatiem
- SquareX arī eksperimentē ar Chrome paplašinājumu dinamisku analīzi, izmantojot modificētu Chromium pārlūkprogrammu savā mākoņa serverī
Tie ir daļa no SquareX pārlūkprogrammas noteikšanas un reaģēšanas risinājuma, kas tiek izmantots vidējos lielos uzņēmumos un efektīvi bloķē šos uzbrukumus.
Viveks Ramačandransdibinātājs un izpilddirektors SquareXbrīdināja par uzstādīšanas riskiem: “Pārlūkprogrammas paplašinājumi ir aklā zona EDR/XDR, un SWG nevar secināt par to klātbūtni. Tas ir padarījis pārlūkprogrammas paplašinājumus par ļoti efektīvu un iedarbīgu paņēmienu klusai instalēšanai un uzņēmuma lietotāju uzraudzībai, un uzbrucēji izmanto tos, lai pārraudzītu saziņu, izmantojot tīmekļa zvanus, darbotos cietušā vārdā, lai piešķirtu atļaujas ārējām pusēm, nozagtu sīkfailus un citus vietņu datus. un tā tālāk.” “Mūsu pētījumi pierāda, ka bez dinamiskas analīzes un uzņēmumu iespējas piemērot stingras politikas nebūs iespējams identificēt un bloķēt šos uzbrukumus. Google MV3, lai gan tas ir labi iecerēts, joprojām ir tālu no drošības nodrošināšanas gan izstrādes, gan ieviešanas fāzē,” sacīja Viveks Ramachandrans.
Par SquareX
SquareX palīdz organizācijām atklāt, mazināt un meklēt draudus klienta puses tīmekļa uzbrukumiem, kas notiek pret lietotājiem reāllaikā.
SquareX nozarē pirmais pārlūkprogrammas noteikšanas un reaģēšanas (BDR) risinājums izmanto uz uzbrukumu vērstu pieeju pārlūkprogrammas drošībai, nodrošinot uzņēmuma lietotāju aizsardzību pret tādiem progresīviem draudiem kā ļaunprātīgi QR kodi, pikšķerēšana pārlūkprogrammā pārlūkprogrammā, uz makro balstīta ļaunprātīga programmatūra, ļaunprātīgi paplašinājumi un citi tīmekļa uzbrukumi, kas ietver ļaunprātīgus failus, vietnes, skriptus un apdraudētus tīklus.
Izmantojot SquareX, uzņēmumi var arī nodrošināt darbuzņēmējiem un attāliem darbiniekiem drošu piekļuvi iekšējām lietojumprogrammām, uzņēmuma SaaS un pārveidot pārlūkprogrammas BYOD/nepārvaldītās ierīcēs uzticamās pārlūkošanas sesijās.
Sazināties
PR vadītājs
Junice Liew
SquareX
[email protected]
