მთავარი წაღებები
- Chrome Web Store-ის გაფართოებების უმეტესობა მოითხოვს სახიფათო ნებართვებს, რომლებიც შეიძლება გამოყენებულ იქნას მავნე მიზნებისთვის.
- ყველა ვებ ბრაუზერი ცდილობს გაუმკლავდეს უაზრო გაფართოებების პრობლემას.
- Google's Manifest V3 არის ერთ-ერთი ასეთი გამოსავალი, რომელიც წყვეტს ზოგიერთ საკითხს, მაგრამ ნაკლებად მოქმედებს გაფართოებებისთვის ხელმისაწვდომ ნებართვებში.
გახსოვთ მართლწერის შესამოწმებელი ბრაუზერის გაფართოება, რომელიც ითხოვდა ნებართვას წაიკითხოს და გააანალიზოს ყველაფერი, რასაც აკრეფთ? კიბერუსაფრთხოების ექსპერტები აფრთხილებენ, რომ არსებობს დიდი შანსი იმისა, რომ ზოგიერთი გაფართოება ბოროტად იყენებს თქვენს თანხმობას, მოიპაროს პაროლები, რომლებსაც ვებ-ბრაუზერში ჩაწერთ.
მომხმარებლებისთვის ვებ გაფართოებების საშიშროების შესაფასებლად, ციფრული უსაფრთხოების კომპანია Talon-მა გააანალიზა Chrome Web Store და აცნობა, რომ ათიათასობით გაფართოებას აქვს წვდომა შემაშფოთებელ ნებართვებზე, როგორიცაა მონაცემების შეცვლის შესაძლებლობა ყველა მონახულებულ საიტზე., ფაილების ჩამოტვირთვა, ჩამოტვირთვის აქტივობაზე წვდომა და სხვა.
„ბევრი პოპულარული გაფართოება მომხმარებლებს საფრთხეში აყენებს“, განუმარტა Talon Cyber Security-ის თანადამფუძნებელმა და CTO-მ ოჰად ბობროვმა Lifewire-ს ელფოსტით. „[თუნდაც] კეთილთვისებიანი გაფართოებები შეიძლება ჰქონდეს დაუცველობას თავის კოდში ან მიწოდების ჯაჭვში და შეიძლება იყოს მიდრეკილი მავნე აქტორების მიერ ხელში ჩაგდების მიმართ.“
Wayward გაფართოებები
Talon ამტკიცებს, რომ გაფართოებები დიდ მნიშვნელობას სთავაზობენ მათ მომხმარებლებს და მოუტანენ უამრავ სასარგებლო ფუნქციას ვებ ბრაუზერებში, როგორიცაა რეკლამის დაბლოკვა, მართლწერის შემოწმება, პაროლის მართვა და სხვა. თუმცა, ამ ფუნქციების შესატანად, გაფართოებებს სჭირდებათ ფართო ნებართვები ბრაუზერის, მისი ქცევისა და მონახულებული ვებსაიტების შესაცვლელად.
„ბუნებრივია, მესამე მხარის მიერ კონტროლისა და წვდომის ამ დონეს შეუძლია მნიშვნელოვანი საფრთხე შეუქმნას მომხმარებლებს უსაფრთხოებასა და კონფიდენციალურობას“, განმარტა ტალონმა.
კომპანია დასძენს, რომ Google-ის შემოწმების პროცესის მიუხედავად, ბევრი მავნე გაფართოება ახერხებს ხარვეზების გადალახვას და საბოლოოდ უარყოფითად იმოქმედებს მილიონობით მომხმარებელზე. მისმა ანალიზმა აჩვენა, რომ Chrome Web Store-ის ყველა გაფართოების 60%-ზე მეტს აქვს მომხმარებლის მონაცემებისა და აქტივობის წაკითხვის ან შეცვლის ნებართვა.
მაგალითად, ტალონი ამბობს, რომ ორთოგრაფიული და გრამატიკული შემმოწმებლები ითხოვენ ნებართვას, შეიყვანონ სკრიპტები, რომლებიც გადის ვებგვერდის კონტექსტიდან მომხმარებლის ტექსტის გასაანალიზებლად. ისინი ამას ჩვეულებრივ აკეთებენ შეყვანის ველების ინსპექტირებით ან მომხმარებლის კლავიშების სხვა საშუალებებით აღრიცხვით. კომპანია ამბობს, რომ ეს ეფექტურად საშუალებას აძლევს გაფართოებებს შეაგროვონ და გამოიყენონ ნებისმიერი ინფორმაცია ვებ გვერდზე, მათ შორის პაროლები და სხვა მგრძნობიარე მონაცემები.
შემდეგ არის რეკლამის დაბლოკვა, რომელიც ქმნის Chrome Web Store-ის ზოგიერთ საუკეთესო გაფართოებას. ეს ფუნქცია მოიცავს ელემენტების ამოღებას გვერდიდან და მოითხოვს იგივე ნებართვებს, როგორც მართლწერის შემმოწმებლებს.
უცნობია, რა მონაცემები იქნა ექსფილტრირებული, მაგრამ მას შეეძლო რაიმეს მოპარვა ნებისმიერი გვერდიდან, პაროლების ჩათვლით.
ასევე, ეკრანის გაზიარებისთვის მინიჭებული ნებართვები და ვიდეო კონფერენციის გაფართოებები მათი დანიშნულებისამებრ შეიძლება გამოყენებულ იქნას მომხმარებლის ეკრანისა და აუდიოს გადასაღებად.
"უკანასკნელი რამდენიმე თვის განმავლობაში ორი დაუცველობა აღმოაჩინა uBlock Origin-ში, რამაც თავდამსხმელებს საშუალება მისცა, გამოეყენებინათ გაფართოების ნებართვა, წაეკითხათ და შეცვალონ მონაცემები ყველა საიტზე და მოეპარათ სენსიტიური მომხმარებლის ინფორმაცია," გვითხრა ბობროვმა.
რეკლამის ბლოკატორები, როგორიცაა uBlock Origin, ძალიან პოპულარულია და, როგორც წესი, აქვს წვდომა მომხმარებლის მიერ მონახულებულ ყველა გვერდზე. კულისებში ისინი უზრუნველყოფილია საზოგადოების მიერ მოწოდებული ფილტრების სიებით - CSS სელექტორები, რომლებიც კარნახობენ რომელი ელემენტების დაბლოკვას. სიები არ არის მთლიანად სანდო, ამიტომ ისინი შეზღუდულია, რათა თავიდან აიცილონ მავნე წესები მომხმარებლის მონაცემების მოპარვისგან,”- წერს უსაფრთხოების მკვლევარი გარეტ ჰეისი, როდესაც მან აჩვენა, რომ იყენებს გაფართოებაში დაუცველობას პაროლების მოსაპარად.
ბობროვმა ასევე გააზიარა, რომ 2019 წელს პოპულარული The Great Suspender გაფართოება, რომელსაც ჰყავდა ორ მილიონზე მეტი მომხმარებელი, იყიდა მავნე მსახიობმა, რომელიც აგრძელებდა მისი ნებართვების გამოყენებას სკრიპტების ინექციის მიზნით გადაუმოწმებელი, დისტანციურად განთავსებული კოდის გასაშვებად. ვებ გვერდებზე.
"უცნობია რა მონაცემები იქნა ექსფილტირებული, - თქვა მან, "მაგრამ მას შეეძლო რაიმეს მოპარვა ნებისმიერი გვერდიდან, პაროლების ჩათვლით."
რეალური გამოსავალი არ არის
ბობროვი ამბობს, რომ Chrome და პრაქტიკულად ყველა სხვა წამყვანი ვებ ბრაუზერი მუშაობს გაფართოებების მიერ გამოწვეული უსაფრთხოების რისკის შესაკავებლად, არა მხოლოდ მათი შემოწმების პროცესის გაუმჯობესებით, არამედ გაფართოებების ზოგიერთი შესაძლებლობების შეზღუდვით.
ერთ-ერთი ასეთი ბოლო ნაბიჯი, რომელიც ბობროვმა აღნიშნა, არის Google's Manifest V3. ის ამბობს, რომ საშუალო მომხმარებლისთვის ყველაზე შესამჩნევი განსხვავება Manifest V3-ს გაფართოებებს მოუტანს არის დისტანციურად განთავსებული კოდის სრული აკრძალვა და გაფართოებების ვებ-მოთხოვნის შეცვლა.თუმცა, ის დასძენს, რომ უარყოფითი მხარე, Manifest V3 გააკრიტიკეს რეკლამის ბლოკატორების სასტიკად შეფერხების გამო.
"ყველაზე მნიშვნელოვანი ტენდენციებია უსაფრთხოების ხარვეზების დახურვა, საბოლოო მომხმარებლის ხილვადობისა და კონტროლის გაზრდა (მაგ., რომელი საიტები უშვებს გაფართოებების გაშვებას) და გადაუმოწმებელი კოდის აკრძალვა გაფართოებებიდან", - თქვა ბობროვმა. "ამ ცვლილებებიდან ზოგიერთი შედის Google-ის Manifest V3-ში. თუმცა, არცერთი ეს ცვლილება მკვეთრად არ ცვლის გაფართოებებისთვის ხელმისაწვდომ ნებართვებს."