Негізгі ұсыныстар
- Chrome веб-дүкеніндегі кеңейтімдердің көпшілігі зиянды мақсаттарда теріс пайдаланылуы мүмкін қауіпті рұқсаттарды талап етеді.
- Барлық веб-шолғыштар дұрыс емес кеңейтімдер мәселесін шешуге тырысуда.
- Google's Manifest V3 - кейбір мәселелерді шешетін осындай шешімдердің бірі, бірақ кеңейтімдер үшін қолжетімді рұқсаттарды басқаруға аз әсер етеді.
Емлені тексеру браузер кеңейтімі сіз терген барлық нәрсені оқуға және талдауға рұқсат сұрайтынын есте сақтаңыз ба? Киберқауіпсіздік мамандары кейбір кеңейтімдердің веб-шолғышқа енгізген құпия сөздерді ұрлау үшін келісіміңізді теріс пайдалану ықтималдығы жоғары екенін ескертеді.
Пайдаланушыларға веб-кеңейтімдердің қауіптілігін бағалауға көмектесу үшін Talon сандық қауіпсіздік компаниясы Chrome Web Store дүкенін талдап, ондаған мың кеңейтімдердің барлық кірген сайттардағы деректерді өзгерту мүмкіндігі сияқты алаңдатарлық рұқсаттарға қол жеткізе алатынын хабарлады., файлдарды жүктеп алыңыз, жүктеп алу әрекетіне қол жеткізіңіз және т.б..
«Көптеген танымал кеңейтімдер пайдаланушыларға қауіп төндіреді», - деп түсіндірді Talon Cyber Security негізін қалаушы және техникалық директоры Охад Бобров Lifewire-ке электрондық пошта арқылы. "[Тіпті] жақсы кеңейтімдердің кодында немесе жеткізу тізбегінде осалдықтар болуы мүмкін және зиянды әрекеттердің күшіне енуі мүмкін."
Жағымсыз кеңейтімдер
Talon кеңейтімдердің өз пайдаланушыларына үлкен мән беретінін және веб-браузерлерге жарнаманы блоктау, емлені тексеру, құпия сөзді басқару және т.б. сияқты көптеген пайдалы мүмкіндіктерді беретінін айтады. Дегенмен, бұл функцияларды енгізу үшін кеңейтімдер шолғышты, оның әрекетін және кірген веб-сайттарды өзгертуге кең рұқсаттарды талап етеді.
«Әрине, мұндай бақылау деңгейі және үшінші тарап субъектілерінен қол жеткізу пайдаланушылар үшін қауіпсіздік пен құпиялылыққа елеулі қатер төндіруі мүмкін», - деп түсіндірді Talon.
Компания Google тексеру процесіне қарамастан, көптеген зиянды кеңейтімдер бос орындардан өтіп, миллиондаған пайдаланушыларға кері әсер ететінін қосады. Оның талдауы Chrome Web Store дүкеніндегі барлық кеңейтімдердің 60%-дан астамының пайдаланушы деректері мен әрекеттерін оқуға немесе өзгертуге рұқсаттары бар екенін көрсетті.
Мысалы, Talon емле және грамматика тексерушілері пайдаланушы мәтінін талдау үшін веб-беттің мәтінмәнінен орындалатын сценарийлерді енгізуге рұқсат сұрайтынын айтады. Олар мұны әдетте енгізу өрістерін тексеру немесе басқа жолдармен пайдаланушының пернелерді басу арқылы тіркеу арқылы жасайды. Компания бұл кеңейтімдерге веб-беттегі кез келген ақпаратты, соның ішінде құпия сөздерді және басқа да құпия деректерді жинауға және эксфильтрациялауға тиімді мүмкіндік береді дейді.
Содан кейін Chrome Web Store дүкенінің кейбір үздік кеңейтімдерін құрайтын жарнаманы блоктау бар. Бұл функция беттегі элементтерді жоюды қамтиды және емлені тексеру құралдарымен бірдей рұқсаттарды талап етеді.
Қандай деректер эксфильтрацияланғаны белгісіз, бірақ ол кез келген беттен, соның ішінде құпия сөздерді ұрлауы мүмкін.
Сол сияқты, экранды бөлісуге берілген рұқсаттар және бейнеконференция кеңейтімдері өздерінің мақсатты тапсырмасын орындау үшін пайдаланушының экраны мен дыбысын түсіру үшін де дұрыс пайдаланылуы мүмкін.
"Соңғы бірнеше айда uBlock Origin жүйесінде екі осалдық табылды, бұл шабуылдаушыларға кеңейтімнің барлық сайттардағы деректерді оқу және өзгерту рұқсатын пайдалануға және құпия пайдаланушы ақпаратын ұрлауға мүмкіндік берді", - деді Бобров.
uBlock Origin сияқты жарнаманы блоктаушылар өте танымал және әдетте пайдаланушы кіретін әрбір бетке қол жеткізе алады. Олар қоғамдастық ұсынған сүзгі тізімдері арқылы жұмыс істейді - қай элементтерді бұғаттауды белгілейтін CSS селекторлары. Олар тізімдер толығымен сенімді емес, сондықтан олар зиянды ережелердің пайдаланушы деректерін ұрлауына жол бермеу үшін шектелген », - деп жазды қауіпсіздік зерттеушісі Гарет Хейс кеңейтімдегі осалдықтарды құпия сөздерді ұрлау үшін пайдалануды көрсеткендей.
Бобров сонымен бірге 2019 жылы екі миллионнан астам пайдаланушысы бар танымал The Great Suspender кеңейтімін зиянды актер сатып алғанын, оның рұқсаттарын пайдаланып, қашықтан орналастырылған кодты іске қосу үшін сценарийлерді енгізуге кіріскенін айтты. веб-беттерде.
"Қандай деректер эксфильтрацияланғаны белгісіз," деді ол, "бірақ кез келген беттен, соның ішінде құпия сөздерді ұрлауы мүмкін."
Нақты шешім жоқ
Бобров Chrome және іс жүзінде барлық басқа жетекші веб-шолғыштар кеңейтімдерден туындайтын қауіпсіздік қатерін олардың тексеру процесін жақсарту арқылы ғана емес, сонымен қатар кеңейтімдердің кейбір мүмкіндіктерін шектеу арқылы қамту үшін жұмыс істейтінін айтады.
Бобров атап өткен осындай соңғы қадамдардың бірі - Google манифесті V3. Оның айтуынша, қарапайым пайдаланушы үшін Manifest V3 кеңейтімдерге әкелетін ең елеулі айырмашылық қашықтан орналастырылған кодқа толық тыйым салу және кеңейтімдердің веб-сұрауларды өзгерту тәсілін өзгерту болып табылады. Дегенмен, ол Манифест V3-тің жағымсыз жағы жарнама блоктаушыларына қатты кедергі келтіргені үшін сынға алынғанын айтады.
"Ең маңызды тенденциялар - қауіпсіздік кемшіліктерін жабу, соңғы пайдаланушының көрінуін және бақылауын арттыру (мысалы, қандай сайттар кеңейтімдерді іске қосуға мүмкіндік береді) және кеңейтімдерге қаралмайтын кодқа тыйым салу", - деді Бобров. "Осы өзгерістердің кейбірі Google Manifest V3 нұсқасында қамтылған. Дегенмен, бұл өзгерістердің ешқайсысы кеңейтімдерге қолжетімді рұқсаттарды күрт өзгертпейді."
