A SquareX megmutatja, hogy a rosszindulatú bővítmények hogyan kerülik meg a Google MV3 korlátozásait

**SZINGAPÚR, Szingapúr, 2024. október 3./CyberNewsWire/--**A DEF CON 32-ben a A kutatócsoport kemény prezentációt tartott Sneaky Extensions: The MV3 Escape Artists címmel, ahol megosztották tapasztalataikat arról, hogy a rosszindulatú böngészőbővítmények hogyan kerülik meg a Google Chrome-bővítmények készítésére vonatkozó legújabb szabványát: a Manifest V3 (MV3) biztonsági funkcióit, amivel több millió felhasználót vonz be. és a veszélyeztetett vállalkozások.

A SquareX kutatócsoportja nyilvánosan bemutatta az MV3-ra épített szélhámos bővítményeket. A legfontosabb megállapítások a következők:

• A bővítmények külön engedélyek nélkül is ellophatják az élő videofolyamokat, például a Google Meetből és a Zoom Webből származókat.
• A szélhámos bővítmények a felhasználó nevében járhatnak el, hogy együttműködőket adhassanak hozzá a privát GitHub-tárolókhoz.
• A bővítmények képesek bekapcsolódni a bejelentkezési eseményekbe, hogy a felhasználókat egy jelszókezelő bejelentkezésnek álcázott oldalra irányítsák át.
• Az MV3-ra épített bővítmények könnyedén ellophatják a webhely cookie-jait, a böngészési előzményeket, a könyvjelzőket és a letöltési előzményeket, akárcsak MV2-es társaik.
• A szélhámos bővítmények előugró ablakokat adhatnak az aktív weboldalhoz, például hamis szoftverfrissítési felszólításokat, amelyek rávehetik a felhasználókat, hogy rosszindulatú programokat töltsenek le.

A böngészőbővítmények régóta a rosszindulatú szereplők célpontjai – a Stanford Egyetemen becslések szerint 280 millió rosszindulatú Chrome-bővítményt telepítettek az elmúlt években. A Google nehezen kezelte ezt a problémát, gyakran független kutatókra támaszkodott a rosszindulatú bővítmények azonosításában.

Egyes esetekben a Google-nak manuálisan kellett eltávolítania őket, például a tavaly júniusban szedték le. Mire eltávolították őket, ezeket a bővítményeket már 75 millió alkalommal telepítették. A legtöbb probléma azért merült fel, mert a Chrome kiterjesztési szabványa, a Manifest Version 2 (MV2) tele volt kiskapukkal, amelyek túlzott engedélyeket biztosítottak a bővítményeknek, és lehetővé tették a szkriptek menet közbeni beszúrását, gyakran a felhasználók tudta nélkül.

Ez lehetővé tette a rosszindulatú szereplők számára, hogy könnyen kihasználják ezeket a biztonsági réseket adatok ellopására, rosszindulatú programok beszúrására és érzékeny információkhoz való hozzáférésre. Az MV3-at azért vezették be, hogy megoldja ezeket a problémákat a biztonság szigorításával, az engedélyek korlátozásával, és megkövetelte a bővítményektől, hogy előzetesen deklarálják a szkripteket.

A SquareX kutatása azonban azt mutatja, hogy az MV3 számos kritikus területen alulmarad, ami azt mutatja, hogy a támadók még mindig képesek minimális engedélyt kihasználni rosszindulatú tevékenységek végrehajtására. Mind az egyéni felhasználók, mind a vállalkozások elérhetők, még az újabb MV3 keretrendszerben is.

A mai biztonsági megoldások, például a végpontbiztonság, a SASE/SSE és a Secure Web Gateways (SWG) nem látják a telepített böngészőbővítményeket. Jelenleg nincs olyan kiforrott eszköz vagy platform, amely képes lenne dinamikusan műszerezni ezeket a bővítményeket, így a vállalkozások nem tudják pontosan felmérni, hogy egy bővítmény biztonságos vagy rosszindulatú-e.

A SquareX elkötelezett a vállalatok legmagasabb szintű kiberbiztonsági védelmében, és kulcsfontosságú innovatív funkciókat épített ki e probléma megoldására, beleértve:

• Finom szemcsés házirendek annak eldöntésére, hogy mely bővítményeket engedélyezzük/blokkoljuk, és a paraméterek közé tartoznak a bővítményengedélyek, a létrehozás dátuma, az utolsó frissítés, az értékelések, az értékelések, a felhasználók száma, a szerzői attribútumok stb.
• A SquareX blokkolja a bővítmények által küldött hálózati kéréseket futás közben – házirendek, heurisztika és gépi tanulási betekintések alapján
• A SquareX a Chrome-bővítmények dinamikus elemzésével is kísérletezik egy módosított Chromium böngésző segítségével a felhőszerverén.

Ezek a SquareX részei megoldást, amelyet a közép-nagyvállalatoknál alkalmaznak, és hatékonyan gátolja ezeket a támadásokat.

, alapítója és vezérigazgatója , figyelmeztetett a telepítési kockázatokra: „A böngészőbővítmények az EDR/XDR vakfoltjai, és az SWG-k nem tudnak következtetni a jelenlétükre. Ez a böngészőbővítményeket nagyon hatékony és hatékony technikává tette a csendben telepíthető és a vállalati felhasználók megfigyelésére, a támadók pedig arra használják őket, hogy figyeljék a webhívásokon keresztüli kommunikációt, az áldozat nevében járjanak el, hogy engedélyeket adjanak külső feleknek, cookie-kat és egyéb webhelyadatokat lopjanak el. és így tovább."

„Kutatásunk azt bizonyítja, hogy a dinamikus elemzés és a vállalatok azon képessége nélkül, hogy szigorú irányelveket alkalmazzanak, nem lehet azonosítani és megakadályozni ezeket a támadásokat. A Google MV3, bár jó szándékú, még mindig messze van attól, hogy a tervezési és a megvalósítási szakaszban érvényesítse a biztonságot” – mondta Vivek Ramachandran.

A SquareX-ről

segít a szervezeteknek valós időben észlelni, mérsékelni és fenyegetőzni a felhasználóik elleni ügyféloldali webes támadásokat.

A SquareX iparágban elsőként kínált BDR (Browser Detection and Response, BDR) megoldása támadásközpontú megközelítést alkalmaz a böngészőbiztonság terén, és biztosítja a vállalati felhasználók védelmét olyan fejlett fenyegetések ellen, mint a rosszindulatú QR-kódok, a böngésző a böngészőben adathalászat, a makró alapú rosszindulatú programok, rosszindulatú kiterjesztések és más internetes támadások, amelyek rosszindulatú fájlokat, webhelyeket, szkripteket és feltört hálózatokat foglalnak magukban.

A SquareX segítségével a vállalatok a vállalkozóknak és a távoli dolgozóknak is biztonságos hozzáférést biztosíthatnak a belső alkalmazásokhoz, a vállalati SaaS-hez, és a BYOD/nem felügyelt eszközök böngészőit megbízható böngészési munkamenetekké alakíthatják át.

Érintkezés

PR vezetője Junice Liew SquareX

[email protected]