Enterprise Security-firmaet Secure Annex identifiserte et nettverk av 57 nettleserutvidelser, mange distribuerte ikke-tradisjonelle, som potensielt utsatte nesten 6 millioner brukere for betydelige sikkerhetsrisikoer som cookie tyveri og gjennomgripende spor. Target=”_ Blank”> Funn, detaljert av forskeren John Tuckner , stammet fra en undersøkelse av”unoterte”kromutvidelser som ble oppdaget under en klientgjennomgang. UNLISTEDE EXTENSS er ikke synlige gjennom standard Chrome-nettbutikksøk og krever en direkte URL for installasjon, en metode som noen ganger er utnyttet for Sikkerhet , Secure Annex samlet listen over 57 mistenkte utvidelser. Analyse avdekket at disse tilleggene etterspurte brede tillatelser som gir dem tilgang til brukerkaker-potensielt inkludert sensitive autentiseringstokener som brukes til å opprettholde påloggingsøkter-sammen med muligheter for å overvåke nettlesvaner, endre søkeresultater, injisere og utføre eksterne skript og distribuere avanserte sporingsteknikker.
et vanlig element mange utvidelser href=”http://unknow.com/”target=”_ blank”> unnow.com , noe som antyder en koordinert kommando-og-kontrollstruktur. Tuckner bemerket at mens direkte dataeksfiltrering ikke ble observert under analysen, pekte utvidelsens evner og bruk av tilslørt kode sterkt mot spyware-potensialet. Muligheten til å stjele øktkaker er spesielt angående, da det kan tillate angripere å omgå multifaktor-autentisering og kapringskontoer.
Et mønster av utvidelsessikkerhetsutfordringer
Oppdagelsen fremhever løpende sikkerhetsproblemer innen nettleserforlengelsesøkosystemer. Den rene skalaen av problemet ble detaljert 2024 i en studie som fant bemerkelsesverdige sikkerhetsmangler i Chrome-nettbutikken, utført av forskere fra Stanford University og CISPA Helmholtz Center for Information Security.
deres
Den akademiske studien identifiserte vanlige problemer som bidrar til risikoen, inkludert en tendens til å få en mulighet til å gjenkjenne COMPuent COMPuent Politied Couns som bidrar til risikoen. Utvidelser hadde aldri mottatt en. Denne forsømmelsen gjør at sårbarheter kan vedvare; Forskerne fant at halvparten av kjente sårbare utvidelser forble tilgjengelige to år etter avsløring. Videre konkluderte etterforskningen med at”brukervurderinger ikke effektivt indikerer sikkerheten til utvidelser. Ondsinnede og godartede utvidelser mottok ofte lignende rangeringer”, noe som antyder at brukere ikke lett kan skille trygge tillegg fra risikable som er basert på tilbakemeldinger fra samfunnet alene. Forskerne anbefalte forbedret overvåking av Google, inkludert praksis som”å oppdage kodelikheter”og”flaggutvidelser ved bruk av utdaterte biblioteker.” problematiske utvidelser som ofte henger før fjerning, og sammensatte risikoen. Stanford/CISPA-studien fant at skadelig programvare typisk vedvarte i omtrent 380 dager, mens sårbare utvidelser var i gjennomsnitt en alarmerende 1 248 dager. En sterk illustrasjon som ble gitt var utvidelsen”Teleapp”, som var tilgjengelig i 8,5 år før malwareinnholdet ble identifisert. Etter Secure Annex-rapporten tidligere i år, ble Google varslet og etter sigende undersøkt, og fjernet noen, men ikke alle, av de identifiserte utvidelsene. Mens han erkjenner utfordringene, fastholder Google at aktive trusler representerer en liten brøkdel av den totale aktiviteten. Benjamin Ackerman, Anunoy Ghosh og David Warren fra Googles Chrome Security-team skrev 2024 i A google Webs. Google Webs. Manifest V3 Extension Platform som en sentral del av sikkerhetsstrategien. Manifest V3 introduserer strengere regler for utvidelser, noe som spesielt begrenser deres evne til å utføre eksternt hostet kode-kode lastet ned fra en server etter installasjon, som har vært en vanlig mekanisme for å introdusere ondsinnet atferd etter vurdering. Talsmannen la til, “Manifest V3 adresser mange av bekymringene som vi er glad i rapporten, inkludert rapporten, som vi er glad i rapporten, som den som er glad i rapporten, så PO-en som var glad for at vi er glad for at vi er glad for at vi er glad for å gjøre det, så støtter viktigheten av den overgangen.”Google har til hensikt å fase ut støtte for den eldre Manifest V2-plattformen fullstendig i begynnelsen av 2025, og presser utviklere mot de mer begrensede, og teoretisk tryggere, V3-arkitektur. forsinket deteksjon og plattformrespons