Mga Key Takeaway
- Karamihan ng mga extension sa Chrome Web Store ay nangangailangan ng mga mapanganib na pahintulot na maaaring gamitin sa maling paraan para sa malisyosong layunin.
- Sinusubukan ng lahat ng web browser na harapin ang problema ng mga naliligaw na extension.
- Ang Manifest V3 ng Google ay isang ganoong solusyon na tumutugon sa ilang isyu ngunit hindi gaanong nagagawa ang mga pahintulot na magagamit sa mga extension.
Naaalala mo ba ang extension ng browser na nagsusuri ng spell na humihingi ng mga pahintulot na basahin at suriin ang lahat ng iyong tina-type? Nagbabala ang mga dalubhasa sa cybersecurity na malaki ang posibilidad na maling ginagamit ng ilang extension ang iyong pahintulot na nakawin ang mga password na ipinutok mo sa web browser.
Upang matulungan ang mga user na pahalagahan ang mga panganib ng mga web extension, sinuri ng kumpanya ng digital security na Talon ang Chrome Web Store para iulat na libu-libong extension ang may access sa mga nakababahalang pahintulot, gaya ng kakayahang baguhin ang data sa lahat ng binisita na site, mag-download ng mga file, mag-access ng aktibidad sa pag-download, at higit pa.
“Maraming sikat na extension ang naglalagay sa panganib sa mga user,” ipinaliwanag ng co-founder at CTO ng Talon Cyber Security Ohad Bobrov sa Lifewire sa pamamagitan ng email. “[Kahit] ang mga benign extension ay maaaring may mga kahinaan sa kanilang code, o supply chain, at maaaring madaling makuha ng mga malisyosong aktor.”
Wayward Extension
Ang Talon ay nangangatuwiran na ang mga extension ay nag-aalok ng malaking halaga sa kanilang mga user, at nagdadala ng maraming kapaki-pakinabang na feature sa mga web browser gaya ng ad-blocking, spell checking, pamamahala ng password, at higit pa. Gayunpaman, upang dalhin ang mga pagpapaandar na ito, ang mga extension ay nangangailangan ng malawak na pahintulot upang baguhin ang browser, ang pag-uugali nito, at ang binisita na mga website.
“Natural, ang antas ng kontrol at access na ito mula sa mga third-party na aktor ay maaaring magdulot ng malaking banta sa seguridad at privacy sa mga user,” paliwanag ni Talon.
Idinagdag ng kumpanya na sa kabila ng proseso ng pagsusuri ng Google, maraming nakakahamak na extension ang nakakalusot sa mga gaps at nagdudulot ng masamang epekto sa milyun-milyong user. Ang pagsusuri nito ay nagsiwalat na higit sa 60% ng lahat ng mga extension sa Chrome Web Store ay may mga pahintulot na basahin o baguhin ang data at aktibidad ng user.
Halimbawa, sinabi ni Talon na humihiling ng pahintulot ang mga spelling at grammar checker na mag-inject ng mga script na tumatakbo mula sa konteksto ng web page upang suriin ang text ng user. Karaniwan nilang ginagawa ito sa pamamagitan ng pag-inspeksyon sa mga input field o pag-log sa mga keystroke ng user sa pamamagitan ng ibang paraan. Sinasabi ng kumpanya na epektibong pinapayagan nito ang mga extension na mangolekta at mag-exfiltrate ng anumang impormasyon sa web page, kabilang ang mga password at iba pang sensitibong data.
Pagkatapos, mayroong ad-blocking, na bumubuo sa ilan sa mga nangungunang extension ng Chrome Web Store. Kasama sa functionality na ito ang pag-alis ng mga elemento mula sa page at nangangailangan ng parehong mga pahintulot gaya ng mga spell-checker.
Hindi alam kung anong data ang na-exfiltrate, ngunit maaari itong magnakaw ng anuman mula sa anumang page, kabilang ang mga password.
Katulad nito, ang mga pahintulot na ibinigay sa pagbabahagi ng screen, at mga extension ng video-conference para gawin ang kanilang nilalayon na gawain, ay maaari ding gamitin sa maling paraan upang makuha ang screen at audio ng user.
"Dalawang kahinaan ang nakita sa uBlock Origin sa nakalipas na ilang buwan, na nagbigay-daan sa mga umaatake na samantalahin ang pahintulot ng extension na basahin at baguhin ang data sa lahat ng site at magnakaw ng sensitibong impormasyon ng user," sabi ni Bobrov sa amin.
"Ang mga ad blocker tulad ng uBlock Origin ay napakasikat at karaniwang may access sa bawat page na binibisita ng user. Sa likod ng mga eksena, pinapagana sila ng mga listahan ng filter na ibinigay ng komunidad - mga tagapili ng CSS na nagdidikta kung aling mga elemento ang iba-block. Ang mga ito hindi lubos na pinagkakatiwalaan ang mga listahan, kaya pinipigilan ang mga ito upang maiwasan ang mga malisyosong panuntunan sa pagnanakaw ng data ng user," isinulat ng security researcher na si Gareth Heyes habang ipinakita niya ang paggamit ng mga kahinaan sa extension para magnakaw ng mga password.
Ibinahagi din ni Bobrov na noong 2019, ang sikat na extension ng The Great Suspender, na mayroong mahigit dalawang milyong user, ay binili ng isang malisyosong aktor, na nagpatuloy sa pagsasamantala sa mga pahintulot nito na mag-inject ng mga script para patakbuhin ang hindi nasuri at malayuang naka-host na code sa mga web page.
"Hindi alam kung anong data ang na-exfiltrate," aniya, "ngunit maaari itong magnakaw ng anuman sa anumang page, kabilang ang mga password."
Walang Tunay na Solusyon
Sinasabi ni Bobrov na ang Chrome at halos lahat ng iba pang nangungunang web browser ay nagsisikap na maglaman ng panganib sa seguridad na dulot ng mga extension, hindi lamang sa pamamagitan ng pagpapabuti ng kanilang proseso ng pag-vetting kundi sa pamamagitan din ng paglilimita sa ilan sa mga kakayahan ng mga extension.
Ang isang kamakailang hakbang na itinuturo ni Bobrov ay ang Google's Manifest V3. Sinabi niya na para sa karaniwang user, ang pinakakapansin-pansing pagkakaiba na maidudulot ng Manifest V3 sa mga extension ay isang kumpletong pagbabawal sa malayuang naka-host na code at pagbabago sa paraan ng pagbabago ng mga extension sa mga kahilingan sa web. Gayunpaman, idinagdag niya na sa downside, ang Manifest V3 ay binatikos dahil sa matinding paghadlang sa mga ad-blocker.
"Ang pinakamahalagang trend ay ang pagsasara ng mga puwang sa seguridad, pagtaas ng visibility at kontrol ng end-user (hal., kung aling mga site ang nagpapahintulot sa mga extension na tumakbo), at pagbabawal ng hindi nasusuri na code mula sa mga extension," sabi ni Bobrov. "Ang ilan sa mga pagbabagong ito ay nakapaloob sa Manifest V3 ng Google. Gayunpaman, wala sa mga pagbabagong ito ang kapansin-pansing nagbabago sa mga pahintulot na available sa mga extension."
