موارد مهم
- اکثر برنامههای افزودنی در فروشگاه وب Chrome به مجوزهای خطرناکی نیاز دارند که میتوانند برای اهداف مخرب مورد سوء استفاده قرار گیرند.
- همه مرورگرهای وب در تلاش هستند تا با مشکل افزونههای سرگردان مقابله کنند.
- Google's Manifest V3 یکی از این راه حلها است که برخی از مشکلات را برطرف میکند، اما اجازههای موجود برای برنامههای افزودنی را کنترل نمیکند.
پسوند مرورگر غلطگیر املا را به خاطر دارید که برای خواندن و تجزیه و تحلیل هر چیزی که تایپ میکنید مجوز میخواست؟ کارشناسان امنیت سایبری هشدار میدهند که احتمال اینکه برخی از برنامههای افزودنی از رضایت شما برای سرقت گذرواژههایی که در مرورگر وب وارد میکنید سوء استفاده کنند، زیاد است.
برای کمک به کاربران در درک خطرات برنامههای افزودنی وب، شرکت امنیت دیجیتال Talon فروشگاه وب Chrome را تجزیه و تحلیل کرده است تا گزارش دهد که دهها هزار برنامه افزودنی به مجوزهای نگرانکننده دسترسی دارند، مانند امکان تغییر دادهها در همه سایتهای بازدید شده. ، دانلود فایل ها، دسترسی به فعالیت دانلود و موارد دیگر.
«بسیاری از افزونههای محبوب کاربران را در معرض خطر قرار میدهند،» اوهاد بابروف، یکی از بنیانگذاران و مدیر ارشد فناوری Talon Cyber Security از طریق ایمیل به Lifewire توضیح داد. «[حتی] برنامههای افزودنی خوشخیم ممکن است آسیبپذیریهایی در کد یا زنجیره تأمین خود داشته باشند و میتوانند در معرض تصاحب عوامل مخرب باشند.»
افزونههای بیطرف
Talon استدلال می کند که برنامه های افزودنی ارزش زیادی برای کاربران خود ارائه می دهند و مجموعه ای از ویژگی های مفید مانند مسدود کردن تبلیغات، بررسی املا، مدیریت رمز عبور و موارد دیگر را برای مرورگرهای وب به ارمغان می آورند. با این حال، برای آوردن این قابلیتها، برنامههای افزودنی به مجوزهای گسترده برای اصلاح مرورگر، رفتار آن و وبسایتهای بازدید شده نیاز دارند.
«طبیعاً، این سطح از کنترل و دسترسی از سوی بازیگران شخص ثالث می تواند تهدیدات امنیتی و حریم خصوصی قابل توجهی را برای کاربران ایجاد کند.» تالون توضیح داد.
این شرکت اضافه می کند که علیرغم فرآیند بررسی گوگل، بسیاری از برنامه های افزودنی مخرب موفق می شوند از شکاف ها عبور کنند و در نهایت میلیون ها کاربر را تحت تاثیر قرار دهند. تجزیه و تحلیل آن نشان داد که بیش از 60٪ از همه برنامههای افزودنی در فروشگاه وب Chrome مجوز خواندن یا تغییر دادهها و فعالیت کاربر را دارند.
برای مثال، Talon میگوید که چککنندههای املایی و دستور زبان درخواست مجوز برای تزریق اسکریپتهایی میکنند که از متن صفحه وب اجرا میشوند تا متن کاربر را تجزیه و تحلیل کنند. آنها معمولاً این کار را با بازرسی فیلدهای ورودی یا ثبت ضربههای کلید کاربر به روشهای دیگر انجام میدهند. این شرکت میگوید که این به طور موثر به برنامههای افزودنی اجازه میدهد تا هرگونه اطلاعات موجود در صفحه وب، از جمله گذرواژهها و سایر دادههای حساس را جمعآوری و استخراج کنند.
سپس مسدود کردن تبلیغات وجود دارد که برخی از برترین افزونههای فروشگاه وب Chrome را تشکیل میدهد. این عملکرد شامل حذف عناصر از صفحه است و به همان مجوزهای غلطگیر املا نیاز دارد.
مشخص نیست چه دادههایی استخراج شده است، اما به طور بالقوه میتواند هر چیزی را از هر صفحهای، از جمله گذرواژهها، دزدیده باشد.
به طور مشابه، مجوزهای اعطا شده به اشتراکگذاری صفحه و برنامههای افزودنی کنفرانس ویدئویی برای انجام وظیفه مورد نظرشان نیز میتوانند برای ضبط صفحه و صدای کاربر مورد سوء استفاده قرار گیرند.
در چند ماه گذشته دو آسیبپذیری در uBlock Origin یافت شد که به مهاجمان اجازه میداد از مجوز افزونه برای خواندن و تغییر دادهها در همه سایتها و سرقت اطلاعات حساس کاربر سوء استفاده کنند..
مسدودکننده های تبلیغاتی مانند uBlock Origin بسیار محبوب هستند و معمولاً به هر صفحه ای که کاربر بازدید می کند دسترسی دارند. در پشت صحنه، آنها توسط لیست های فیلتر ارائه شده توسط انجمن - انتخابگرهای CSS که دیکته می کنند عناصر مسدود شوند. گرت هیز، محقق امنیتی، با استفاده از آسیبپذیریها در برنامه افزودنی برای سرقت رمزهای عبور، نوشت: لیستها کاملاً قابل اعتماد نیستند، بنابراین آنها برای جلوگیری از سرقت دادههای کاربر از قوانین مخرب محدود هستند.
Bobrov همچنین به اشتراک گذاشت که در سال 2019 برنامه افزودنی محبوب The Great Suspender که بیش از دو میلیون کاربر داشت، توسط یک بازیگر مخرب خریداری شد که از مجوزهای آن برای تزریق اسکریپتها برای اجرای کدهای بازبینی نشده و میزبان از راه دور استفاده کرد. در صفحات وب.
"ناشناخته است که چه دادههایی استخراج شده است، "او گفت، "اما به طور بالقوه میتوانست هر چیزی را از هر صفحهای، از جمله رمزهای عبور به سرقت ببرد."
بدون راه حل واقعی
Bobrov می گوید که Chrome و تقریباً همه مرورگرهای وب پیشرو دیگر در تلاش هستند تا خطر امنیتی ناشی از برنامه های افزودنی را کنترل کنند، نه تنها با بهبود فرآیند بررسی آنها، بلکه با محدود کردن برخی از قابلیت های برنامه های افزودنی.
یکی از اقدامات اخیر که Bobrov به آن اشاره می کند، Manifest V3 گوگل است. او میگوید که برای یک کاربر معمولی، قابل توجهترین تفاوت Manifest V3 برای برنامههای افزودنی، ممنوعیت کامل کد میزبان از راه دور و تغییر در روشی که افزونهها درخواستهای وب را اصلاح میکنند، است.با این حال، او اضافه میکند که از جنبه منفی، Manifest V3 به دلیل ممانعت شدید از مسدودکنندههای تبلیغات مورد انتقاد قرار گرفته است.
«مهمترین روندها بستن شکاف های امنیتی، افزایش دید و کنترل کاربر نهایی (به عنوان مثال، اینکه کدام سایت ها اجازه اجرای برنامه های افزودنی را می دهند) و ممنوع کردن کدهای غیرقابل بازبینی از برنامه های افزودنی است. "برخی از این تغییرات در Manifest V3 Google گنجانده شده است. با این حال، هیچ یک از این تغییرات به طور چشمگیری مجوزهای موجود برای برنامه های افزودنی را تغییر نمی دهد."
