paint-brush
SquareX აჩვენებს, თუ როგორ აცილებენ მავნე გაფართოებები Google-ის MV3 შეზღუდვებს მიერ@cybernewswire
418 საკითხავი
418 საკითხავი

SquareX აჩვენებს, თუ როგორ აცილებენ მავნე გაფართოებები Google-ის MV3 შეზღუდვებს

მიერ CyberNewswire4m2024/10/03
Read on Terminal Reader

Ძალიან გრძელი; Წაკითხვა

MV3 Escape Artists, სადაც მათ გაუზიარეს თავიანთი დასკვნები იმის შესახებ, თუ როგორ არღვევენ ბრაუზერის მავნე გაფართოებები Google-ის უახლეს სტანდარტს Chrome-ის გაფართოების შესაქმნელად
featured image - SquareX აჩვენებს, თუ როგორ აცილებენ მავნე გაფართოებები Google-ის MV3 შეზღუდვებს
CyberNewswire HackerNoon profile picture
0-item

** სინგაპური, სინგაპური, 2024 წლის 3 ოქტომბერი/CyberNewsWire/--** DEF CON 32-ზე, კვლევითმა ჯგუფმა წარმოადგინა მძიმე პრეზენტაცია სახელწოდებით Sneaky Extensions: The MV3 Escape Artists, სადაც მათ გააზიარეს თავიანთი დასკვნები იმის შესახებ, თუ როგორ არღვევენ ბრაუზერის მავნე გაფართოებები Google-ის უახლეს სტანდარტს ქრომის გაფართოებების შესაქმნელად: Manifest V3 (MV3) უსაფრთხოების ფუნქციები, რაც მილიონობით მომხმარებელს აყენებს. და რისკის ქვეშ მყოფი ბიზნესები.


SquareX-ის კვლევითმა ჯგუფმა საჯაროდ აჩვენა ბოროტი გაფართოებები, რომლებიც აშენებულია MV3-ზე. ძირითადი აღმოჩენები მოიცავს:

  • გაფართოებებს შეუძლიათ მოიპარონ პირდაპირი ვიდეო ნაკადები, როგორიცაა Google Meet და Zoom Web, სპეციალური ნებართვების საჭიროების გარეშე.
  • მოტყუებულ გაფართოებებს შეუძლიათ იმოქმედონ მომხმარებლის სახელით, რათა დაამატონ თანამშრომლები კერძო GitHub საცავებში.
  • გაფართოებებს შეუძლიათ ჩაერთონ შესვლის მოვლენებში, რათა მომხმარებლები გადამისამართონ გვერდზე, რომელიც შენიღბულია პაროლის მენეჯერის შესვლის სახით.
  • MV3-ზე აგებულ გაფართოებებს შეუძლიათ მარტივად მოიპარონ საიტის ქუქი-ფაილები, დათვალიერების ისტორია, სანიშნეები და ჩამოტვირთვის ისტორია, ისევე როგორც მათი MV2 კოლეგები.
  • მოტყუებულ გაფართოებებს შეუძლიათ დაამატონ ამომხტარი ფანჯრები აქტიურ ვებგვერდზე, როგორიცაა ყალბი პროგრამული უზრუნველყოფის განახლების მოთხოვნა, მომხმარებლების მოტყუება მავნე პროგრამების ჩამოტვირთვაში.

ბრაუზერის გაფართოებები დიდი ხანია იყო მავნე მსახიობების სამიზნე - სტენფორდის უნივერსიტეტი შეფასებით, ბოლო წლებში 280 მილიონი მავნე Chrome გაფართოება იყო დაინსტალირებული. Google იბრძოდა ამ პრობლემის გადასაჭრელად, ხშირად ეყრდნობოდა დამოუკიდებელ მკვლევარებს მავნე გაფართოებების იდენტიფიცირებისთვის.


ზოგიერთ შემთხვევაში, Google-ს მოუწია ხელით წაშალა ისინი, მაგალითად ჩამორთმეული გასული წლის ივნისში. იმ დროისთვის, როდესაც ისინი ამოიღეს, ეს გაფართოებები უკვე 75 მილიონჯერ იყო დაინსტალირებული. ამ პრობლემების უმეტესობა წარმოიშვა იმის გამო, რომ Chrome-ის გაფართოების სტანდარტი, Manifest Version 2 (MV2) იყო გაჟღენთილი ხარვეზებით, რომლებიც ანიჭებდნენ გაფართოებებს ზედმეტ ნებართვებს და აძლევდნენ სკრიპტების ინექციას პირდაპირ, ხშირად მომხმარებლების ცოდნის გარეშე.


ეს საშუალებას აძლევდა მავნე აქტორებს მარტივად გამოეყენებინათ ეს დაუცველობა მონაცემების მოსაპარად, მავნე პროგრამების ინექციისა და მგრძნობიარე ინფორმაციაზე წვდომისთვის. MV3 დაინერგა ამ პრობლემების გადასაჭრელად უსაფრთხოების გამკაცრებით, ნებართვების შეზღუდვით და მათი სკრიპტების წინასწარ გამოცხადების გაფართოებების მოთხოვნით.


თუმცა, SquareX-ის კვლევამ აჩვენა, რომ MV3 ბევრ კრიტიკულ სფეროში ჩამორჩება, რაც აჩვენებს, თუ როგორ შეუძლიათ თავდამსხმელებს მინიმალური ნებართვების გამოყენება მავნე მოქმედებების განსახორციელებლად. როგორც ინდივიდუალური მომხმარებლები, ასევე საწარმოები არიან გამოვლენილი, თუნდაც უახლესი MV3 ჩარჩოში.


დღევანდელი უსაფრთხოების გადაწყვეტილებები, როგორიცაა საბოლოო წერტილის უსაფრთხოება, SASE/SSE და Secure Web Gateways (SWG), არ არის ხილვადობა დაინსტალირებული ბრაუზერის გაფართოებებში. ამჟამად არ არსებობს მომწიფებული ინსტრუმენტი ან პლატფორმა, რომელსაც შეუძლია დინამიურად დააინსტალიროს ეს გაფართოებები, რის გამოც საწარმოებს არ შეუძლიათ ზუსტად შეაფასონ, არის თუ არა გაფართოება უსაფრთხო ან მავნე.


SquareX მოწოდებულია საწარმოებისთვის კიბერუსაფრთხოების დაცვის უმაღლეს დონეზე და ამ პრობლემის გადასაჭრელად შექმნა ძირითადი ინოვაციური ფუნქციები, რომლებიც მოიცავს;

  • დახვეწილი პოლიტიკის გადასაწყვეტად, რომელი გაფართოებების დაშვება/დაბლოკვა და პარამეტრები მოიცავს გაფართოების ნებართვებს, შექმნის თარიღს, ბოლო განახლებას, მიმოხილვებს, რეიტინგებს, მომხმარებელთა რაოდენობას, ავტორის ატრიბუტებს და ა.შ.
  • SquareX ბლოკავს გაფართოებების მიერ გაგზავნილ ქსელის მოთხოვნებს გაშვების დროს – პოლიტიკის, ევრისტიკისა და მანქანათმცოდნეობის ანალიზის საფუძველზე
  • SquareX ასევე ატარებს ექსპერიმენტებს Chrome Extensions-ის დინამიურ ანალიზზე, შეცვლილი Chromium ბრაუზერის გამოყენებით თავის ღრუბლოვან სერვერზე


ეს არის SquareX-ის ნაწილი გადაწყვეტა, რომელიც გამოიყენება საშუალო მსხვილ საწარმოებში და ეფექტურად ბლოკავს ამ შეტევებს.


, დამფუძნებელი და აღმასრულებელი დირექტორი , გააფრთხილა მზარდი რისკების შესახებ: „ბრაუზერის გაფართოებები EDR/XDR-სთვის ბრმა წერტილია და SWG-ებს არ აქვთ საშუალება დაადგინონ მათი არსებობა. ამან ბრაუზერის გაფართოებები ძალიან ეფექტურ და ძლიერ ტექნიკად აქცია ჩუმად დასაინსტალირებლად და კორპორატიული მომხმარებლების მონიტორინგისთვის, ხოლო თავდამსხმელები იყენებენ მათ ვებ ზარების კომუნიკაციის მონიტორინგისთვის, მსხვერპლის სახელით მოქმედებენ გარე მხარეებისთვის ნებართვების მისაცემად, ქუქიების და საიტის სხვა მონაცემების მოპარვის მიზნით. და ასე შემდეგ.”


„ჩვენი კვლევა ადასტურებს, რომ დინამიური ანალიზისა და საწარმოების მიერ მკაცრი პოლიტიკის გამოყენების უნარის გარეშე, შეუძლებელი იქნება ამ თავდასხმების იდენტიფიცირება და დაბლოკვა. Google MV3, მიუხედავად იმისა, რომ კარგად არის განზრახული, ჯერ კიდევ შორს არის უსაფრთხოების განმტკიცებისგან როგორც დიზაინის, ასევე განხორციელების ეტაპზე,” - თქვა ვივეკ რამაჩანდრანმა.

SquareX-ის შესახებ

ეხმარება ორგანიზაციებს რეალურ დროში აღმოაჩინონ, შეარბილონ და მოძებნონ საფრთხის შემცველი კლიენტის მხრიდან ვებ შეტევები, რომლებიც ხდება მათი მომხმარებლების წინააღმდეგ რეალურ დროში.

SquareX-ის პირველი ბრაუზერის გამოვლენისა და რეაგირების (BDR) გადაწყვეტა ბრაუზერის უსაფრთხოებაზე თავდასხმაზე ორიენტირებულ მიდგომას იღებს, რაც უზრუნველყოფს საწარმოს მომხმარებლების დაცვას ისეთი მოწინავე საფრთხეებისგან, როგორიცაა მავნე QR კოდები, ბრაუზერის ფიშინგი, მაკროზე დაფუძნებული მავნე პროგრამები. მავნე გაფართოებები და სხვა ვებ შეტევები, რომლებიც მოიცავს მავნე ფაილებს, ვებსაიტებს, სკრიპტებს და კომპრომეტირებულ ქსელებს.


SquareX-ით, საწარმოებს ასევე შეუძლიათ კონტრაქტორებს და დისტანციურ მუშაკებს უზრუნველყონ უსაფრთხო წვდომა შიდა აპლიკაციებზე, საწარმოს SaaS-ზე და გადააკეთონ ბრაუზერები BYOD/უმართავ მოწყობილობებზე სანდო დათვალიერების სესიებად.

კონტაქტი

პიარის ხელმძღვანელი

ჯუნის ლიუ

SquareX

[email protected]

ეს ამბავი გავრცელდა CyberNewsWire-ის მიერ HackerNoon-ის ბიზნეს ბლოგინგ პროგრამის ფარგლებში. შეიტყვეთ მეტი პროგრამის შესახებ აქ



L O A D I N G
. . . comments & more!

About Author

CyberNewswire HackerNoon profile picture
CyberNewswire@cybernewswire
The world's leading cybersecurity press release distribution platform.

დაკიდეთ ტეგები

ეს სტატია იყო წარმოდგენილი...

바카라사이트 바카라사이트 온라인바카라