Kľúčové poznatky
- Väčšina rozšírení v Internetovom obchode Chrome vyžaduje nebezpečné povolenia, ktoré možno zneužiť na škodlivé účely.
- Všetky webové prehliadače sa snažia riešiť problém neprirodzených rozšírení.
- Manifest V3 od spoločnosti Google je jedno z takýchto riešení, ktoré rieši niektoré problémy, ale málo kraľuje povoleniam dostupným pre rozšírenia.
Spomínate si na to rozšírenie prehliadača na kontrolu pravopisu, ktoré žiadalo o povolenia na čítanie a analýzu všetkého, čo napíšete? Odborníci na kybernetickú bezpečnosť varujú, že existuje veľká šanca, že niektoré rozšírenia zneužívajú váš súhlas na ukradnutie hesiel, ktoré zadáte do webového prehliadača.
S cieľom pomôcť používateľom oceniť nebezpečenstvá webových rozšírení spoločnosť Talon pre digitálnu bezpečnosť analyzovala Internetový obchod Chrome a oznámila, že desiatky tisíc rozšírení majú prístup k znepokojujúcim povoleniam, ako je napríklad možnosť meniť údaje na všetkých navštívených stránkach., sťahovanie súborov, prístup k aktivite sťahovania a ďalšie.
„Veľa populárnych rozšírení vystavuje používateľov riziku,“vysvetlil Lifewire e-mailom spoluzakladateľ a technický riaditeľ Talon Cyber Security Ohad Bobrov. „[Dokonca aj] benígne rozšírenia môžu mať zraniteľné miesta vo svojom kóde alebo dodávateľskom reťazci a môžu byť náchylné na prevzatie zákernými činiteľmi.“
Wayward Extensions
Talon tvrdí, že rozšírenia ponúkajú svojim používateľom veľkú hodnotu a prinášajú množstvo užitočných funkcií do webových prehliadačov, ako je blokovanie reklám, kontrola pravopisu, správa hesiel a ďalšie. Na prinesenie týchto funkcií však rozšírenia vyžadujú široké povolenia na úpravu prehliadača, jeho správania a navštívených webových stránok.
„Prirodzene, táto úroveň kontroly a prístupu od aktérov tretích strán môže pre používateľov predstavovať významné bezpečnostné a súkromie,“vysvetlil Talon.
Spoločnosť dodáva, že napriek procesu preverovania spoločnosti Google sa mnohým škodlivým rozšíreniam darí prekĺznuť cez medzery a nakoniec nepriaznivo ovplyvniť milióny používateľov. Jeho analýza odhalila, že viac ako 60 % všetkých rozšírení v Internetovom obchode Chrome má povolenia na čítanie alebo zmenu údajov a aktivity používateľa.
Talon napríklad hovorí, že kontrola pravopisu a gramatiky vyžaduje povolenie na vloženie skriptov, ktoré sa spúšťajú z kontextu webovej stránky na analýzu textu používateľa. Zvyčajne to robia tak, že kontrolujú vstupné polia alebo zaznamenávajú stlačenia klávesov používateľa iným spôsobom. Spoločnosť tvrdí, že to rozšíreniam efektívne umožňuje zhromažďovať a extrahovať akékoľvek informácie na webovej stránke vrátane hesiel a iných citlivých údajov.
Potom je tu blokovanie reklám, ktoré tvorí niektoré z najlepších rozšírení Internetového obchodu Chrome. Táto funkcia zahŕňa odstraňovanie prvkov zo stránky a vyžaduje rovnaké povolenia ako pri kontrole pravopisu.
Nie je známe, aké údaje boli exfiltrované, ale potenciálne mohli ukradnúť čokoľvek z akejkoľvek stránky vrátane hesiel.
Podobne môžu byť povolenia udelené na zdieľanie obrazovky a rozšírenia pre videokonferencie na vykonanie ich zamýšľanej úlohy zneužité aj na zachytenie obrazovky používateľa a zvuku.
"V uBlock Origin sa za posledných pár mesiacov našli dve zraniteľnosti, ktoré útočníkom umožnili zneužiť povolenie rozšírenia na čítanie a zmenu údajov na všetkých stránkach a na krádež citlivých informácií o používateľoch," povedal nám Bobrov.
Blokovače reklám ako uBlock Origin sú mimoriadne populárne a zvyčajne majú prístup ku každej stránke, ktorú používateľ navštívi. V zákulisí ich využívajú komunitné zoznamy filtrov – selektory CSS, ktoré určujú, ktoré prvky sa majú blokovať. Tieto zoznamy nie sú úplne dôveryhodné, takže sú obmedzené, aby zabránili škodlivým pravidlám ukradnúť používateľské údaje,“napísal bezpečnostný výskumník Gareth Heyes, keď demonštroval používanie zraniteľností v rozšírení na krádež hesiel.
Bobrov tiež prezradil, že v roku 2019 si populárne rozšírenie The Great Suspender, ktoré malo viac ako dva milióny používateľov, kúpil škodlivý herec, ktorý využil jeho povolenia na vloženie skriptov na spustenie neskontrolovaného, vzdialene hosťovaného kódu na webových stránkach.
"Nie je známe, aké údaje boli exfiltrované," povedal, "ale potenciálne mohli ukradnúť čokoľvek z akejkoľvek stránky vrátane hesiel."
Žiadne skutočné riešenie
Bobrov hovorí, že Chrome a prakticky všetky ostatné popredné webové prehliadače pracujú na tom, aby obmedzili bezpečnostné riziko, ktoré rozšírenia predstavujú, a to nielen zlepšením ich procesu overovania, ale aj obmedzením niektorých možností rozšírení.
Jedným z nedávnych krokov, na ktoré Bobrov poukazuje, je Manifest V3 od Googlu. Hovorí, že pre bežného používateľa najvýraznejším rozdielom, ktorý Manifest V3 prinesie rozšíreniam, je úplný zákaz vzdialene hostovaného kódu a posun v spôsobe, akým rozšírenia upravujú webové požiadavky. Dodáva však, že na druhej strane bol Manifest V3 kritizovaný za vážne obmedzovanie blokátorov reklám.
„Najvýraznejšími trendmi sú zatváranie bezpečnostných medzier, zvyšovanie viditeľnosti a kontroly koncových používateľov (napr. ktoré stránky umožňujú spúšťanie rozšírení) a zákaz rozšírení, ktoré nie je možné skontrolovať, “povedal Bobrov. "Niektoré z týchto zmien sú zahrnuté v Manifeste V3 Google. Žiadna z týchto zmien však dramaticky nemení povolenia dostupné pre rozšírenia."
