Firma keselamatan perusahaan Secure Annex mengenal pasti rangkaian 57 pelanjutan penyemak imbas, banyak yang diedarkan tanpa tradisi, yang berpotensi mendedahkan hampir 6 juta pengguna kepada risiko keselamatan yang signifikan seperti pencurian cookie dan pengesanan yang meluas. Target=”_ Blank”> Penemuan, terperinci oleh penyelidik John Tuckner , berpunca daripada penyiasatan ke sambungan krom”tidak tersenarai”yang ditemui semasa kajian semula pelanggan. Sambungan yang tidak tersenarai tidak dapat ditemui melalui carian kedai web krom standard dan memerlukan URL langsung untuk pemasangan, satu kaedah yang kadang-kadang dieksploitasi untuk mengedarkan perisian yang tidak diingini atau berniat jahat di bawah radar. Keselamatan , Secure Annex menyusun senarai 57 sambungan suspek. Analisis mendedahkan tambahan ini yang diminta keizinan luas yang membolehkan mereka mengakses kuki pengguna-berpotensi termasuk token pengesahan sensitif yang digunakan untuk mengekalkan sesi log masuk-di samping keupayaan untuk memantau tabiat pelayaran, mengubah hasil carian, menyuntik dan melaksanakan skrip jauh, dan menggunakan teknik pengesan lanjutan. href=”http://unknow.com/”target=”_ blank”> unnow.com , mencadangkan struktur komando-dan-kontrol yang diselaraskan. Tuckner menyatakan bahawa walaupun exfiltration data langsung tidak diperhatikan semasa analisis mereka, keupayaan sambungan dan penggunaan kod obfuscated sangat menunjuk ke arah potensi spyware. Keupayaan untuk mencuri cookies sesi adalah terutamanya mengenai ia membolehkan penyerang memintas pengesahan multi-faktor dan akaun rampasan.
Corak cabaran keselamatan lanjutan
Skala masalah ini terperinci 2024 dalam kajian mencari kekurangan keselamatan yang ketara di kedai web Chrome, yang dijalankan oleh penyelidik dari Universiti Stanford dan CISPA Helmholtz untuk Keselamatan Maklumat. Dari pertengahan 2020 hingga awal 2023, didapati lebih dari 346 juta muat turun dari apa yang mereka sebut sebagai”pelanjutan yang dapat dibatalkan oleh keselamatan,”yang merangkumi malware, pelanggar dasar, dan sambungan dengan kod terdedah. Pelanjutan yang dikaji tidak pernah menerima satu.
Pengabaian ini membolehkan kelemahan berterusan; Para penyelidik mendapati separuh daripada sambungan terdedah yang diketahui masih ada dua tahun selepas pendedahan. Selain itu, siasatan menyimpulkan bahawa”penilaian pengguna tidak berkesan menunjukkan keselamatan sambungan. Sambungan jahat dan jinak sering menerima penilaian yang sama”, yang menunjukkan pengguna tidak dapat dengan mudah membezakan tambahan selamat dari yang berisiko berdasarkan maklum balas masyarakat sahaja. Para penyelidik mencadangkan pemantauan yang dipertingkatkan oleh Google, termasuk amalan seperti”mengesan persamaan kod”dan”pelanjutan penandaan menggunakan perpustakaan yang sudah lapuk.”
Kajian Stanford/CISPA mendapati malware biasanya berterusan selama kira-kira 380 hari, sementara sambungan terdedah purata 1,248 hari yang membimbangkan. Ilustrasi yang diberikan adalah lanjutan”teleapp,”yang boleh diakses selama 8.5 tahun sebelum kandungan malware dikenalpasti. Berikutan laporan Annex Secure pada awal tahun ini, Google diberitahu dan dilaporkan disiasat, mengeluarkan beberapa, tetapi tidak semua, dari sambungan yang dikenal pasti.
Semasa mengakui cabaran, Google mengekalkan ancaman aktif mewakili sebahagian kecil daripada aktiviti keseluruhan. Benjamin Ackerman, Anunoy Ghosh, dan David Warren dari Pasukan Keselamatan Chrome Google menulis 2024 dalam A perisian hasad. Walau bagaimanapun, mereka menekankan keperluan untuk kewaspadaan berterusan dalam pemantauan pemantauan.
Jurucakap menyatakan:”Kami menghargai kerja komuniti penyelidikan, dan sentiasa mengalu-alukan cadangan untuk mengekalkan keselamatan kedai web Chrome. Manifest V3 Extension Platform sebagai bahagian utama strategi keselamatannya. Manifest V3 memperkenalkan peraturan yang lebih ketat untuk sambungan, terutamanya mengehadkan keupayaan mereka untuk melaksanakan kod yang dihoskan dari jauh-kod yang dimuat turun dari pelayan selepas pemasangan, yang telah menjadi mekanisme yang sama untuk memperkenalkan perilaku yang berniat jahat. menyokong kepentingan peralihan itu.”Google berhasrat untuk menyokong sokongan untuk platform V2 yang lebih lama pada awal 2025, mendorong pemaju ke arah seni bina yang lebih terhad, dan secara teoritis, V3.