Негизги алып салуулар
- Chrome Желе дүкөнүндөгү кеңейтүүлөрдүн көпчүлүгү зыяндуу максаттарда туура эмес колдонулушу мүмкүн болгон кооптуу уруксаттарды талап кылат.
- Бардык веб браузерлер туура эмес кеңейтүүлөр маселесин чечүүгө аракет кылып жатышат.
- Google'дун Manifest V3 - кээ бир маселелерди чечкен ушундай чечимдердин бири, бирок кеңейтүүлөргө берилген уруксаттарды башкарууга анча деле жардам бербейт.
Сиз терген нерселердин баарын окуп жана талдоо үчүн уруксат сураган орфографияны текшерүүчү серепчи кеңейтүүсү эсиңиздеби? Киберкоопсуздук боюнча эксперттер айрым кеңейтүүлөр сиздин макулдугуңузду кыянаттык менен пайдаланып, сиз веб-браузерге киргизген сырсөздөрдү уурдап алуу ыктымалдуулугу жогору экенин эскертет.
Колдонуучуларга веб кеңейтүүлөрдүн кооптуулугун баалоого жардам берүү үчүн, санариптик коопсуздук компаниясы Talon Chrome Желе дүкөнүн талдап, он миңдеген кеңейтүүлөрдүн бардык кирген сайттардагы дайындарды өзгөртүү мүмкүнчүлүгү сыяктуу тынчсыздандырган уруксаттарга кирүү мүмкүнчүлүгү бар экенин билдирди., файлдарды жүктөп алуу, жүктөп алуу аракеттерине мүмкүнчүлүк алуу жана башкалар.
«Көптөгөн таанымал кеңейтүүлөр колдонуучуларды тобокелге салат», - деп түшүндүрдү Talon Cyber Security компаниясынын тең негиздөөчүсү жана CTO Охад Бобров Lifewireге электрондук почта аркылуу. "[Жада калса] пайдалуу кеңейтүүлөрдүн кодунда же жеткирүү чынжырында алсыздыктар болушу мүмкүн жана зыяндуу актерлор тарабынан ээлеп алынышы мүмкүн."
Жолдогу кеңейтүүлөр
Talon кеңейтүүлөр өз колдонуучуларына чоң маани берерин жана веб-браузерлерге жарнамаларды бөгөттөө, орфографияны текшерүү, сырсөздү башкаруу жана башкалар сыяктуу көптөгөн пайдалуу функцияларды алып келерин ырастайт. Бирок, бул функцияларды алып келүү үчүн кеңейтүүлөр браузерди, анын жүрүм-турумун жана кирген веб-сайттарды өзгөртүү үчүн кеңири уруксаттарды талап кылат.
“Албетте, үчүнчү тараптын актерлорунун мындай көзөмөл деңгээли жана кирүү мүмкүнчүлүгү колдонуучулардын коопсуздугуна жана купуялыгына олуттуу коркунуч туудурушу мүмкүн”, - деп түшүндүрдү Талон.
Компания кошумчалайт, Google текшерүү процессине карабастан, көптөгөн зыяндуу кеңейтүүлөр боштуктардан өтүп, миллиондогон колдонуучуларга терс таасирин тийгизет. Анын анализи көрсөткөндөй, Chrome Желе дүкөнүндөгү бардык кеңейтүүлөрдүн 60%дан ашыгы колдонуучу дайындарын жана аракеттерин окууга же өзгөртүүгө уруксаты бар.
Мисалы, Talon орфография жана грамматика текшергичтери колдонуучунун текстин талдоо үчүн веб-баракчанын контекстинен иштеген скрипттерди киргизүүгө уруксат сурайт дейт. Алар муну адатта киргизүү талааларын текшерүү же колдонуучунун баскычтарын башка жолдор менен жазуу аркылуу жасашат. Компаниянын айтымында, бул кеңейтүүлөргө веб-баракчадагы бардык маалыматты, анын ичинде сырсөздөрдү жана башка купуя маалыматтарды чогултууга жана эксфильтрациялоого натыйжалуу жол берет.
Андан кийин Chrome Желе дүкөнүнүн эң мыкты кеңейтүүлөрүн түзгөн жарнамаларды бөгөттөө бар. Бул функция барактан элементтерди алып салууну камтыйт жана орфография текшергичтер сыяктуу эле уруксаттарды талап кылат.
Кандай дайындар эксфильтрацияланганы белгисиз, бирок ал каалаган барактан нерсени, анын ичинде сырсөздөрдү уурдап кетиши мүмкүн.
Ошол сыяктуу эле, экранды бөлүшүүгө берилген уруксаттар жана видеоконференция кеңейтүүлөрү да колдонуучунун экранын жана аудиосун тартуу үчүн туура эмес колдонулушу мүмкүн.
"Акыркы бир нече айда uBlock Origin'те эки алсыздык табылды, бул чабуулчуларга кеңейтүүнүн уруксатын бардык сайттардагы маалыматтарды окууга жана өзгөртүүгө жана колдонуучунун купуя маалыматын уурдоого мүмкүндүк берди ", - деди Бобров бизге.
"UBlock Origin сыяктуу жарнама бөгөттөөчүлөр абдан популярдуу жана адатта колдонуучу кирген ар бир баракка кирүү мүмкүнчүлүгүнө ээ. Көшөгө артында, алар коомчулук тарабынан берилген чыпка тизмелери менен иштейт - кайсы элементтерди бөгөттөө керектигин айткан CSS селекторлору. Булар тизмелерге толугу менен ишенүүгө болбойт, ошондуктан алар зыяндуу эрежелер колдонуучунун маалыматтарын уурдоосуна жол бербөө үчүн чектелген ", - деп жазган коопсуздук боюнча изилдөөчү Гарет Хейс кеңейтүүдөгү кемчиликтерди колдонуп, сырсөздөрдү уурдоо үчүн.
Бобров ошондой эле 2019-жылы эки миллиондон ашык колдонуучусу бар популярдуу The Great Suspender кеңейтүүсүн зыяндуу актер сатып алганын жана анын уруксаттарын пайдаланып, текшерилбеген, алыстан жайгаштырылган кодду иштетүү үчүн скрипттерди сайганын айтты. веб баракчаларында.
"Кандай маалыматтар эксфильтрацияланганы белгисиз," деди ал, "бирок ал каалаган барактан, анын ичинде сырсөздөрдү уурдап кетиши мүмкүн."
Чыныгы чечим жок
Бобров Chrome жана дээрлик бардык башка алдыңкы веб-браузерлер кеңейтүүлөрдөн келип чыккан коопсуздук коркунучун камтыганга аракет кылып жатканын, бул алардын текшерүү процессин өркүндөтүү аркылуу гана эмес, ошондой эле кеңейтүүлөрдүн айрым мүмкүнчүлүктөрүн чектөө аркылуу да иштеп жатканын айтат.
Бобров белгилеген акыркы кадамдардын бири - Google'дун Manifest V3. Анын айтымында, жөнөкөй колдонуучу үчүн Manifest V3 кеңейтүүлөргө алып келе турган эң көрүнүктүү айырма - бул алыстан жайгаштырылган кодго толук тыюу салуу жана кеңейтүүлөрдүн веб-суроолорду өзгөртүү ыкмасын өзгөртүү. Бирок, ал кошумчалагандай, терс жагы, Manifest V3 жарнамаларды блоктоочуларга катуу тоскоолдук кылганы үчүн сынга алынган.
"Эң маанилүү тенденциялар коопсуздук боштуктарын жабуу, акыркы колдонуучунун көрүнүүсүн жана көзөмөлүн жогорулатуу (мисалы, кайсы сайттар кеңейтүүлөрдү иштетүүгө уруксат берет) жана кеңейтүүлөрдөн каралбаган кодго тыюу салуу ", - деди Бобров. "Бул өзгөртүүлөрдүн айрымдары Google'дун Manifest V3 версиясында камтылган. Бирок, бул өзгөртүүлөрдүн бири дагы кеңейтүүлөргө жеткиликтүү уруксаттарды кескин түрдө өзгөртпөйт."