Ključni izsledki
- Večina razširitev v spletni trgovini Chrome zahteva nevarna dovoljenja, ki jih je mogoče zlorabiti za zlonamerne namene.
- Vsi spletni brskalniki se poskušajo spoprijeti s problemom nenavadnih razširitev.
- Googlov Manifest V3 je ena od takšnih rešitev, ki se ukvarja z nekaterimi težavami, vendar le malo vpliva na dovoljenja, ki so na voljo za razširitve.
Se spomnite tiste razširitve brskalnika za preverjanje črkovanja, ki je zahtevala dovoljenja za branje in analizo vsega, kar vnesete? Strokovnjaki za kibernetsko varnost opozarjajo, da obstaja velika verjetnost, da nekatere razširitve zlorabijo vaše soglasje za krajo gesel, ki jih vnesete v spletni brskalnik.
Da bi uporabnikom pomagali razumeti nevarnosti spletnih razširitev, je podjetje za digitalno varnost Talon analiziralo spletno trgovino Chrome in poročalo, da ima več deset tisoč razširitev dostop do zaskrbljujočih dovoljenj, kot je možnost spreminjanja podatkov na vseh obiskanih mestih, prenos datotek, dostop do dejavnosti prenosov in več.
»Številne priljubljene razširitve ogrožajo uporabnike,« je za Lifewire po elektronski pošti pojasnil soustanovitelj in tehnični direktor podjetja Talon Cyber Security Ohad Bobrov. "[Tudi] benigne razširitve imajo lahko ranljivosti v svoji kodi ali dobavni verigi in so lahko dovzetne za prevzeme s strani zlonamernih akterjev."
Postranske razširitve
Talon trdi, da razširitve ponujajo veliko vrednost za svoje uporabnike in prinašajo množico uporabnih funkcij v spletne brskalnike, kot so blokiranje oglasov, preverjanje črkovanja, upravljanje gesel in več. Vendar pa za zagotavljanje teh funkcij razširitve zahtevajo široka dovoljenja za spreminjanje brskalnika, njegovega vedenja in obiskanih spletnih mest.
»Seveda lahko ta stopnja nadzora in dostopa s strani akterjev tretjih oseb predstavlja znatno grožnjo varnosti in zasebnosti za uporabnike,« je pojasnil Talon.
Podjetje dodaja, da kljub Googlovemu postopku preverjanja številnim zlonamernim razširitvam uspe zdrsniti skozi vrzeli in na koncu negativno vplivati na milijone uporabnikov. Njegova analiza je pokazala, da ima več kot 60 % vseh razširitev v spletni trgovini Chrome dovoljenja za branje ali spreminjanje uporabniških podatkov in dejavnosti.
Na primer, Talon pravi, da preverjalniki črkovanja in slovnice zahtevajo dovoljenje za vbrizgavanje skriptov, ki se izvajajo iz konteksta spletne strani, da analizirajo uporabnikovo besedilo. To običajno naredijo tako, da pregledajo vnosna polja ali z drugimi sredstvi zabeležijo pritiske uporabnika na tipke. Podjetje pravi, da to razširitvam dejansko omogoča zbiranje in izločanje vseh informacij na spletni strani, vključno z gesli in drugimi občutljivimi podatki.
Potem je tu še blokiranje oglasov, ki predstavlja nekatere izmed najboljših razširitev spletne trgovine Chrome. Ta funkcija vključuje odstranjevanje elementov s strani in zahteva enaka dovoljenja kot črkovalniki.
Ni znano, kateri podatki so bili ukradeni, vendar bi lahko ukradli karkoli s katere koli strani, vključno z gesli.
Podobno se lahko dovoljenja, dodeljena za skupno rabo zaslona in videokonferenčne razširitve za opravljanje predvidene naloge, zlorabijo za zajemanje uporabnikovega zaslona in zvoka.
»V zadnjih nekaj mesecih sta bili v uBlock Origin odkriti dve ranljivosti, ki sta napadalcem omogočili, da izkoristijo dovoljenje razširitve za branje in spreminjanje podatkov na vseh spletnih mestih ter za krajo občutljivih uporabniških podatkov, « nam je povedal Bobrov.
Blokatorji oglasov, kot je uBlock Origin, so izjemno priljubljeni in imajo običajno dostop do vsake strani, ki jo uporabnik obišče. V zakulisju jih poganjajo seznami filtrov, ki jih zagotovi skupnost – izbirniki CSS, ki narekujejo, katere elemente je treba blokirati. Ti seznami niso popolnoma zaupanja vredni, zato so omejeni, da preprečijo zlonamernim pravilom krajo uporabniških podatkov, « je zapisal raziskovalec varnosti Gareth Heyes, ko je pokazal uporabo ranljivosti v razširitvi za krajo gesel.
Bobrov je tudi povedal, da je leta 2019 priljubljeno razširitev The Great Suspender, ki je imela več kot dva milijona uporabnikov, kupil zlonamerni igralec, ki je nato izkoristil njena dovoljenja za vbrizgavanje skriptov za zagon nepregledane, oddaljeno gostujoče kode na spletnih straneh.
"Ni znano, kateri podatki so bili ukradeni," je dejal, "vendar bi lahko ukradli karkoli s katere koli strani, vključno z gesli."
Ni prave rešitve
Bobrov pravi, da si Chrome in tako rekoč vsi drugi vodilni spletni brskalniki prizadevajo omejiti varnostno tveganje, ki ga predstavljajo razširitve, ne le z izboljšanjem postopka preverjanja, temveč tudi z omejevanjem nekaterih zmogljivosti razširitev.
Eden takih nedavnih korakov, na katerega opozarja Bobrov, je Googlov Manifest V3. Pravi, da je za povprečnega uporabnika najbolj opazna razlika, ki bi jo Manifest V3 prinesel razširitvam, popolna prepoved kode, ki gostuje na daljavo, in sprememba načina, kako razširitve spreminjajo spletne zahteve. Vendar pa dodaja, da je bila slaba stran Manifest V3 kritiziran, ker resno ovira zaviralce oglasov.
»Najpomembnejši trendi so zapiranje varnostnih vrzeli, povečanje vidnosti in nadzora končnega uporabnika (npr. katera spletna mesta dovoljujejo izvajanje razširitev) in prepoved kode, ki je ni mogoče pregledati, v razširitvah, «je dejal Bobrov. "Nekatere od teh sprememb so vključene v Googlov Manifest V3. Vendar pa nobena od teh sprememb dramatično ne spremeni dovoljenj, ki so na voljo razširitvam."
