SquareX показва как злонамерените разширения заобикалят MV3 ограниченията на Google

**СИНГАПУР, Сингапур, 3 октомври 2024 г./CyberNewsWire/--**На DEF CON 32, SquareX изследователският екип изнесе ударна презентация, озаглавена Sneaky Extensions: The MV3 Escape Artists, където те споделиха своите констатации за това как злонамерените разширения на браузъра заобикалят най-новия стандарт на Google за изграждане на разширения на Chrome: функциите за сигурност на Manifest V3 (MV3), поставяйки милиони потребители и предприятия в риск.

Изследователският екип на SquareX публично демонстрира измамни разширения, изградени на MV3. Основните констатации включват:

• Разширенията могат да крадат видео потоци на живо, като тези от Google Meet и Zoom Web, без да изискват специални разрешения.
• Измамните разширения могат да действат от името на потребителя, за да добавят сътрудници към частни хранилища на GitHub.
• Разширенията могат да се захващат за събития за влизане, за да пренасочват потребителите към страница, маскирана като влизане в мениджър на пароли.
• Разширенията, изградени на MV3, могат да крадат бисквитки на сайта, история на сърфиране, отметки и история на изтегляния с лекота, подобно на техните MV2 двойници.
• Измамните разширения могат да добавят изскачащи прозорци към активната уеб страница, като например подкани за фалшива актуализация на софтуера, подвеждащи потребителите да изтеглят зловреден софтуер.

Разширенията на браузъра отдавна са мишена за злонамерени участници - Станфордски университет отчет изчислява, че през последните години са инсталирани 280 милиона злонамерени разширения на Chrome. Google се бори да се справи с този проблем, като често разчита на независими изследователи, за да идентифицира злонамерени разширения.

В някои случаи Google трябваше да ги премахне ръчно, като например 32 разширения свален през юни миналата година. По времето, когато бяха премахнати, тези разширения вече бяха инсталирани 75 милиона пъти. Повечето от тези проблеми възникнаха, защото стандартът за разширение на Chrome, Manifest Version 2 (MV2), беше пълен с вратички, които предоставяха на разширенията прекомерни разрешения и позволяваха скриптове да бъдат инжектирани в движение, често без знанието на потребителите.

Това позволи на злонамерените участници лесно да използват тези уязвимости, за да откраднат данни, да инжектират зловреден софтуер и да получат достъп до чувствителна информация. MV3 беше въведен за справяне с тези проблеми чрез затягане на сигурността, ограничаване на разрешенията и изискване разширенията да декларират своите скриптове предварително.

Изследванията на SquareX обаче показват, че MV3 не успява в много критични области, демонстрирайки как нападателите все още могат да използват минимални разрешения за извършване на злонамерена дейност. Изложени са както отделни потребители, така и предприятия, дори и при по-новата рамка MV3.

Днешните решения за сигурност, като защита на крайни точки, SASE/SSE и защитени уеб шлюзове (SWG), нямат видимост в инсталираните разширения на браузъра. Понастоящем няма зрял инструмент или платформа, способна динамично да инструментира тези разширения, оставяйки предприятията без възможност да преценят точно дали дадено разширение е безопасно или злонамерено.

SquareX се ангажира с най-високо ниво на защита на киберсигурността за предприятията и е изградил ключови иновативни функции за решаване на този проблем, които включват;

• Прецизни политики, за да решите кои разширения да разрешите/блокирате и параметрите включват разрешения за разширение, дата на създаване, последна актуализация, рецензии, оценки, брой потребители, атрибути на автор и т.н.
• SquareX блокира мрежови заявки, изпратени от разширения по време на изпълнение – въз основа на политики, евристики и прозрения за машинно обучение
• SquareX също така експериментира с динамичен анализ на Chrome Extensions, използвайки модифициран браузър Chromium в своя облачен сървър

Това са част от SquareX Откриване и реакция на браузъра решение, което се внедрява в средни и големи предприятия и ефективно блокира тези атаки.

Вивек Рамачандран , основател и главен изпълнителен директор на SquareX , предупреди за нарастващите рискове: „Разширенията на браузъра са сляпо петно за EDR/XDR и SWG няма начин да открият тяхното присъствие. Това направи разширенията на браузъра много ефективна и мощна техника за тихо инсталиране и наблюдение на корпоративни потребители, а нападателите ги използват, за да наблюдават комуникацията през уеб разговори, да действат от името на жертвата, за да дават разрешения на външни страни, да крадат бисквитки и други данни от сайтове и така нататък.”

„Нашето изследване доказва, че без динамичен анализ и способността на предприятията да прилагат строги политики, няма да е възможно да се идентифицират и блокират тези атаки. Google MV3, макар и добре замислен, все още е далеч от налагането на сигурност както на етапа на проектиране, така и на етапа на внедряване“, каза Вивек Рамачандран.

Относно SquareX

SquareX помага на организациите да откриват, смекчават и преследват заплахи уеб атаки от страна на клиента, случващи се срещу техните потребители в реално време.

Първото в индустрията решение за откриване и реагиране на браузър (BDR) на SquareX използва фокусиран върху атаки подход към сигурността на браузъра, като гарантира, че корпоративните потребители са защитени срещу усъвършенствани заплахи като злонамерени QR кодове, фишинг на браузъра в браузъра, базиран на макроси зловреден софтуер, злонамерени разширения и други уеб атаки, обхващащи злонамерени файлове, уебсайтове, скриптове и компрометирани мрежи.

С SquareX предприятията могат също така да осигурят на изпълнители и отдалечени работници сигурен достъп до вътрешни приложения, корпоративни SaaS и да конвертират браузърите на BYOD / неуправлявани устройства в надеждни сесии за сърфиране.

Контакт

Ръководител PR

Джунис Лию

SquareX

[email protected]