**سنغافورة، سنغافورة، 3 أكتوبر 2024/CyberNewsWire/--**في مؤتمر DEF CON 32، قدم فريق البحث عرضًا قويًا بعنوان Sneaky Extensions: The MV3 Escape Artists حيث شاركوا النتائج التي توصلوا إليها حول كيفية تجاوز ملحقات المتصفح الضارة لأحدث معايير Google لبناء ملحقات Chrome: ميزات أمان Manifest V3 (MV3)، مما يعرض ملايين المستخدمين والشركات للخطر.
قام فريق البحث التابع لشركة SquareX باستعراض الإضافات غير القانونية المبنية على MV3 بشكل علني. وتتضمن النتائج الرئيسية ما يلي:
- يمكن للإضافات سرقة تدفقات الفيديو المباشر، مثل تلك الموجودة في Google Meet وZoom Web، دون الحاجة إلى أذونات خاصة.
- يمكن أن تعمل الإضافات المارقة نيابة عن المستخدم لإضافة متعاونين إلى مستودعات GitHub الخاصة.
- تتمتع الإضافات بالقدرة على الارتباط بأحداث تسجيل الدخول لإعادة توجيه المستخدمين إلى صفحة متخفية في شكل تسجيل دخول إلى مدير كلمات المرور.
- يمكن للملحقات المبنية على MV3 سرقة ملفات تعريف الارتباط الخاصة بالموقع وسجل التصفح والإشارات المرجعية وسجل التنزيل بسهولة، مثل نظيراتها في MV2.
- يمكن أن تضيف الإضافات المارقة نوافذ منبثقة إلى صفحة الويب النشطة، مثل مطالبات تحديث البرامج المزيفة، مما يخدع المستخدمين لتنزيل البرامج الضارة.
لقد كانت ملحقات المتصفح منذ فترة طويلة هدفًا للجهات الخبيثة - جامعة ستانفورد تقدر شركة جوجل أن 280 مليون ملحق ضار تم تثبيته على متصفح كروم في السنوات الأخيرة. وقد بذلت جوجل جهدًا كبيرًا لمعالجة هذه المشكلة، حيث اعتمدت في كثير من الأحيان على باحثين مستقلين لتحديد الملحقات الضارة.
في بعض الحالات، اضطرت Google إلى إزالتها يدويًا، مثل تم حذف هذه الإضافات في يونيو/حزيران من العام الماضي. وبحلول وقت إزالتها، كانت هذه الإضافات قد تم تثبيتها بالفعل 75 مليون مرة. وقد نشأت معظم هذه المشكلات لأن معيار إضافات Chrome، Manifest Version 2 (MV2)، كان مليئًا بالثغرات التي منحت الإضافات أذونات مفرطة، وسمحت بحقن البرامج النصية أثناء التنقل، وغالبًا دون علم المستخدمين.
سمح هذا للجهات الخبيثة باستغلال هذه الثغرات بسهولة لسرقة البيانات وحقن البرامج الضارة والوصول إلى المعلومات الحساسة. تم تقديم MV3 لمعالجة هذه المشكلات من خلال تشديد الأمان وتقييد الأذونات وإلزام الإضافات بالإعلان عن نصوصها البرمجية مسبقًا.
ومع ذلك، تظهر أبحاث SquareX أن MV3 يفشل في العديد من المجالات الحرجة، مما يوضح كيف لا يزال المهاجمون قادرين على استغلال الحد الأدنى من الأذونات لتنفيذ أنشطة ضارة. يتعرض كل من المستخدمين الأفراد والشركات للخطر، حتى في ظل إطار MV3 الأحدث.
تفتقر حلول الأمان الحالية، مثل أمان نقاط النهاية، وSASE/SSE، وبوابات الويب الآمنة (SWG)، إلى الرؤية فيما يتعلق بإضافات المتصفح المثبتة. ولا توجد حاليًا أداة أو منصة ناضجة قادرة على التعامل مع هذه الإضافات ديناميكيًا، مما يترك الشركات بدون القدرة على تقييم ما إذا كانت الإضافة آمنة أو ضارة بدقة.
تلتزم SquareX بأعلى مستوى من حماية الأمن السيبراني للمؤسسات وقد أنشأت ميزات مبتكرة رئيسية لحل هذه المشكلة، والتي تشمل؛
- سياسات دقيقة لتحديد الامتدادات التي يجب السماح بها/حظرها والمعلمات التي تتضمن أذونات الامتداد وتاريخ الإنشاء وآخر تحديث والمراجعات والتقييمات وعدد المستخدمين وسمات المؤلف وما إلى ذلك
- يمنع SquareX طلبات الشبكة المرسلة بواسطة الامتدادات في وقت التشغيل - استنادًا إلى السياسات والإرشادات ورؤى التعلم الآلي
- تقوم SquareX أيضًا بتجربة التحليل الديناميكي لإضافات Chrome باستخدام متصفح Chromium المعدل في خادمها السحابي
هذه جزء من SquareX الحل الذي يتم نشره في المؤسسات المتوسطة والكبيرة والذي يمنع هذه الهجمات بشكل فعال.
، المؤسس والرئيس التنفيذي لشركة حذرت شركة "إنتلجنس" من المخاطر المتزايدة: "إن ملحقات المتصفح تشكل نقطة عمياء بالنسبة لـ EDR/XDR ولا توجد لدى مجموعات أدوات الأمن طريقة لاستنتاج وجودها. وقد جعل هذا من ملحقات المتصفح تقنية فعالة للغاية وقوية ليتم تثبيتها بصمت ومراقبة مستخدمي المؤسسات، ويستغلها المهاجمون لمراقبة الاتصالات عبر مكالمات الويب، والعمل نيابة عن الضحية لمنح الأذونات لأطراف خارجية، وسرقة ملفات تعريف الارتباط وبيانات الموقع الأخرى وما إلى ذلك".
"أثبت بحثنا أنه بدون التحليل الديناميكي وقدرة المؤسسات على تطبيق سياسات صارمة، فلن يكون من الممكن تحديد هذه الهجمات وحظرها. وعلى الرغم من حسن النية في Google MV3، إلا أنه لا يزال بعيدًا عن فرض الأمن في كل من مرحلتي التصميم والتنفيذ"، قال فيفيك راماشاندران.
نبذة عن SquareX
يساعد المؤسسات على اكتشاف هجمات الويب التي تستهدف العملاء وتخفيفها وملاحقة التهديدات التي تحدث ضد المستخدمين في الوقت الفعلي.
يتبنى حل اكتشاف المتصفح والاستجابة له (BDR) الأول من نوعه في الصناعة من SquareX نهجًا يركز على الهجوم فيما يتعلق بأمان المتصفح، مما يضمن حماية مستخدمي المؤسسات من التهديدات المتقدمة مثل رموز QR الضارة، وصيد المعلومات من خلال المتصفح داخل المتصفح، والبرامج الضارة القائمة على وحدات الماكرو، والإضافات الضارة، وهجمات الويب الأخرى التي تشمل الملفات الضارة ومواقع الويب والبرامج النصية والشبكات المخترقة.
باستخدام SquareX، يمكن للمؤسسات أيضًا توفير وصول آمن للمقاولين والعاملين عن بعد إلى التطبيقات الداخلية وSaaS المؤسسية، وتحويل المتصفحات على الأجهزة غير المدارة/BYOD إلى جلسات تصفح موثوقة.
اتصال
رئيس العلاقات العامة جونيس ليو سكوير اكس
تم توزيع هذه القصة كإصدار من CyberNewsWire ضمن برنامج التدوين التجاري التابع لـ HackerNoon. تعرف على المزيد حول البرنامج هنا