Əsas Çıxarışlar
- Chrome Veb Mağazasındakı genişləndirmələrin əksəriyyəti zərərli məqsədlər üçün sui-istifadə edilə bilən təhlükəli icazələr tələb edir.
- Bütün veb brauzerlər yalnış genişlənmələr problemini həll etməyə çalışır.
- Google's Manifest V3 belə bir həlldir ki, bəzi məsələləri həll edir, lakin genişləndirmələr üçün mövcud icazələrdə hökmranlıq etmək üçün çox az şey edir.
Yazdığınız hər şeyi oxumaq və təhlil etmək üçün icazə tələb edən orfoqrafiya yoxlanışı brauzer uzantısını xatırlayırsınız? Kibertəhlükəsizlik mütəxəssisləri xəbərdarlıq edir ki, bəzi genişləndirmələrin veb brauzerə daxil etdiyiniz parolları oğurlamaq üçün razılığınızdan sui-istifadə etməsi ehtimalı yüksəkdir.
İstifadəçilərə veb genişləndirmələrin təhlükələrini qiymətləndirməyə kömək etmək üçün rəqəmsal təhlükəsizlik şirkəti Talon Chrome Veb Mağazasını təhlil edərək on minlərlə genişləndirmənin ziyarət edilən bütün saytlardakı məlumatları dəyişdirmək imkanı kimi narahatedici icazələrə çıxışı olduğunu bildirdi., faylları endirin, endirmə fəaliyyətinə daxil olun və s.
“Bir çox məşhur genişləndirmələr istifadəçiləri risk altında qoyur”, Talon Cyber Security-nin həmtəsisçisi və texniki direktoru Ohad Bobrov Lifewire-a e-poçt vasitəsilə izah etdi. “[Hətta] xeyirxah genişləndirmələrin kodlarında və ya təchizat zəncirində zəifliklər ola bilər və zərərli aktorlar tərəfindən mənimsənilə bilər.”
Yollu Genişləndirmələr
Talon iddia edir ki, genişləndirmələr istifadəçiləri üçün böyük dəyər təklif edir və veb-brauzerlərə reklamların bloklanması, orfoqrafiya yoxlanışı, parolun idarə edilməsi və s. kimi bir sıra faydalı funksiyalar gətirir. Bununla belə, bu funksiyaları gətirmək üçün genişləndirmələr brauzeri, onun davranışını və ziyarət edilən vebsaytları dəyişdirmək üçün geniş icazə tələb edir.
“Təbii ki, üçüncü tərəf aktyorlarının bu səviyyəli nəzarəti və girişi istifadəçilər üçün əhəmiyyətli təhlükəsizlik və məxfiliyə təhlükə yarada bilər” deyə Talon izah etdi.
Şirkət əlavə edir ki, Google-un yoxlama prosesinə baxmayaraq, bir çox zərərli genişləndirmələr boşluqlardan keçə bilir və milyonlarla istifadəçiyə mənfi təsir göstərir. Onun təhlili göstərdi ki, Chrome Veb Mağazasındakı bütün artırmaların 60%-dən çoxunun istifadəçi məlumatlarını və fəaliyyətini oxumaq və ya dəyişmək icazəsi var.
Məsələn, Talon deyir ki, orfoqrafiya və qrammatika yoxlayıcıları istifadəçinin mətnini təhlil etmək üçün veb səhifənin kontekstindən işləyən skriptləri daxil etmək üçün icazə tələb edir. Onlar bunu adətən giriş sahələrini yoxlayaraq və ya istifadəçinin düymələrini başqa vasitələrlə qeyd etməklə edirlər. Şirkət deyir ki, bu, genişləndirmələrə parollar və digər həssas məlumatlar daxil olmaqla veb-səhifədəki istənilən məlumatı toplamaq və sızdırmaq imkanı verir.
Sonra Chrome Veb Mağazasının ən yaxşı genişləndirmələrindən bəzilərini təşkil edən reklamların bloklanması var. Bu funksionallıq səhifədən elementlərin silinməsini nəzərdə tutur və orfoqrafiya yoxlayıcıları ilə eyni icazələri tələb edir.
Hansı datanın sızdığı məlum deyil, lakin o, parollar daxil olmaqla istənilən səhifədən potensial olaraq hər şeyi oğurlaya bilər.
Oxşar şəkildə, ekran paylaşımına verilən icazələr və videokonfrans genişləndirmələri nəzərdə tutulan işi yerinə yetirmək üçün istifadəçinin ekranını və səsini çəkmək üçün də sui-istifadə edilə bilər.
"Son bir neçə ayda uBlock Origin-də iki boşluq aşkar edilib ki, bu da təcavüzkarlara bütün saytlardakı məlumatları oxumaq və dəyişmək və həssas istifadəçi məlumatlarını oğurlamaq üçün genişləndirmənin icazəsindən istifadə etməyə imkan verib", - Bobrov bizə bildirib.
UBlock Origin kimi reklam blokerləri olduqca populyardır və adətən istifadəçinin ziyarət etdiyi hər səhifəyə giriş imkanına malikdir. Pərdə arxasında, onlar icma tərəfindən təmin edilmiş filtr siyahıları ilə təchiz edilir - hansı elementlərin bloklanacağını diktə edən CSS seçiciləri. Bunlar siyahılara tam etibar olunmur, ona görə də onlar zərərli qaydaların istifadəçi məlumatlarının oğurlanmasının qarşısını almaq üçün məhdudlaşdırılır,” təhlükəsizlik tədqiqatçısı Gareth Heyes parolları oğurlamaq üçün genişləndirmədəki zəifliklərdən istifadə etdiyini nümayiş etdirərkən yazdı.
Bobrov həmçinin paylaşdı ki, 2019-cu ildə iki milyondan çox istifadəçisi olan məşhur The Great Suspender uzantısı nəzərdən keçirilməmiş, uzaqdan yerləşdirilən kodu işlətmək üçün skriptləri yeritmək üçün onun icazələrindən istifadə etməyə davam edən zərərli aktyor tərəfindən alınıb. veb səhifələrində.
"Hansı məlumatların sızdığı məlum deyil," dedi, "lakin o, parollar daxil olmaqla istənilən səhifədən potensial olaraq hər şeyi oğurlaya bilər."
Real Həll Yoxdur
Bobrov deyir ki, Chrome və demək olar ki, bütün digər aparıcı veb-brauzerlər təkcə yoxlama prosesini təkmilləşdirməklə deyil, həm də genişləndirmələrin bəzi imkanlarını məhdudlaşdırmaqla, genişləndirmələrin yaratdığı təhlükəsizlik riskini ehtiva etməyə çalışır.
Bobrovun qeyd etdiyi belə son addımlardan biri Google-un Manifest V3-üdür. O deyir ki, adi istifadəçi üçün Manifest V3-ün genişləndirmələrə gətirəcəyi ən nəzərəçarpacaq fərq, uzaqdan yerləşdirilən koda tam qadağa və genişləndirmələrin veb sorğularını dəyişdirmə tərzində dəyişiklikdir. Bununla belə, o, əlavə edir ki, mənfi tərəfdən Manifest V3 reklam blokerlərinə ciddi şəkildə mane olduğu üçün tənqid edilib.
"Ən əhəmiyyətli tendensiyalar təhlükəsizlik boşluqlarını bağlamaq, son istifadəçinin görmə qabiliyyətini və nəzarətini artırmaqdır (məsələn, hansı saytlar genişləndirmələrin işə salınmasına icazə verir) və genişləndirmələrdə nəzərdən keçirilməyən kodun qadağan edilməsidir", - Bobrov bildirib. "Bu dəyişikliklərin bəziləri Google-un Manifest V3-də əhatə olunub. Lakin bu dəyişikliklərin heç biri genişləndirmələr üçün mövcud icazələri kəskin şəkildə dəyişdirmir."