SquareX muestra cómo las extensiones maliciosas eluden las restricciones MV3 de Google

**SINGAPUR, Singapur, 3 de octubre de 2024/CyberNewsWire/--**En DEF CON 32, el Cuadrado X El equipo de investigación realizó una presentación contundente titulada Sneaky Extensions: The MV3 Escape Artists, donde compartieron sus hallazgos sobre cómo las extensiones de navegador maliciosas están eludiendo el último estándar de Google para crear extensiones de Chrome: las características de seguridad de Manifest V3 (MV3), poniendo en riesgo a millones de usuarios y empresas.

El equipo de investigación de SquareX demostró públicamente extensiones maliciosas creadas en MV3. Los hallazgos clave incluyen:

• Las extensiones pueden robar transmisiones de video en vivo, como las de Google Meet y Zoom Web, sin requerir permisos especiales.
• Las extensiones maliciosas pueden actuar en nombre de un usuario para agregar colaboradores a repositorios privados de GitHub.
• Las extensiones pueden conectarse a eventos de inicio de sesión para redirigir a los usuarios a una página disfrazada como un inicio de sesión de administrador de contraseñas.
• Las extensiones creadas en MV3 pueden robar cookies del sitio, historial de navegación, marcadores e historial de descargas con facilidad, como sus contrapartes MV2.
• Las extensiones fraudulentas pueden agregar ventanas emergentes a la página web activa, como avisos falsos de actualización de software, engañando a los usuarios para que descarguen malware.

Las extensiones del navegador han sido durante mucho tiempo un objetivo para actores maliciosos, según un estudio de la Universidad de Stanford. informe Se estima que en los últimos años se instalaron 280 millones de extensiones maliciosas de Chrome. Google ha tenido dificultades para abordar este problema y, a menudo, ha recurrido a investigadores independientes para identificar las extensiones maliciosas.

En algunos casos, Google ha tenido que eliminarlos manualmente, como en el caso de 32 extensiones Las extensiones fueron eliminadas en junio del año pasado. Cuando fueron eliminadas, ya se habían instalado 75 millones de veces. La mayoría de estos problemas surgieron porque el estándar de extensiones de Chrome, Manifest Version 2 (MV2), estaba plagado de lagunas que otorgaban a las extensiones permisos excesivos y permitían que se inyectaran scripts sobre la marcha, a menudo sin el conocimiento de los usuarios.

Esto permitió que los actores maliciosos explotaran fácilmente estas vulnerabilidades para robar datos, inyectar malware y acceder a información confidencial. MV3 se introdujo para abordar estos problemas al reforzar la seguridad, limitar los permisos y exigir que las extensiones declaren sus scripts de antemano.

Sin embargo, la investigación de SquareX muestra que MV3 no cumple con muchas áreas críticas, lo que demuestra que los atacantes aún pueden aprovechar permisos mínimos para llevar a cabo actividades maliciosas. Tanto los usuarios individuales como las empresas están expuestos, incluso con el nuevo marco MV3.

Las soluciones de seguridad actuales, como la seguridad de endpoints, SASE/SSE y Secure Web Gateways (SWG), carecen de visibilidad de las extensiones de navegador instaladas. Actualmente, no existe ninguna herramienta o plataforma madura capaz de instrumentar dinámicamente estas extensiones, lo que deja a las empresas sin la capacidad de evaluar con precisión si una extensión es segura o maliciosa.

SquareX está comprometido con el más alto nivel de protección de ciberseguridad para las empresas y ha creado características innovadoras clave para resolver este problema, que incluyen:

• Políticas específicas para decidir qué extensiones permitir/bloquear y los parámetros incluyen permisos de extensión, fecha de creación, última actualización, revisiones, calificaciones, cantidad de usuarios, atributos de autor, etc.
• SquareX bloquea las solicitudes de red enviadas por extensiones en tiempo de ejecución, según políticas, heurísticas y conocimientos de aprendizaje automático
• SquareX también está experimentando con el análisis dinámico de las extensiones de Chrome utilizando un navegador Chromium modificado en su servidor en la nube.

Estos son parte de SquareX Detección y respuesta del navegador solución que se está implementando en empresas medianas y grandes y que bloquea eficazmente estos ataques.

Vivek Ramachandran , Fundador y director ejecutivo de Cuadrado X , advirtió sobre los crecientes riesgos: “Las extensiones del navegador son un punto ciego para EDR/XDR y los SWG no tienen forma de inferir su presencia. Esto ha hecho que las extensiones del navegador sean una técnica muy eficaz y potente para instalarse de forma silenciosa y monitorear a los usuarios empresariales, y los atacantes las están aprovechando para monitorear la comunicación a través de llamadas web, actuar en nombre de la víctima para otorgar permisos a terceros, robar cookies y otros datos del sitio, etc.”

“Nuestra investigación demuestra que sin un análisis dinámico y la capacidad de las empresas para aplicar políticas estrictas, no será posible identificar y bloquear estos ataques. Google MV3, aunque bien intencionado, aún está lejos de garantizar la seguridad tanto en la fase de diseño como en la de implementación”, afirmó Vivek Ramachandran.

Acerca de SquareX

Cuadrado X Ayuda a las organizaciones a detectar, mitigar y cazar amenazas de ataques web del lado del cliente que ocurren contra sus usuarios en tiempo real.

La solución de detección y respuesta del navegador (BDR) de SquareX, primera en la industria, adopta un enfoque centrado en ataques para la seguridad del navegador, lo que garantiza que los usuarios empresariales estén protegidos contra amenazas avanzadas como códigos QR maliciosos, phishing en el navegador, malware basado en macros, extensiones maliciosas y otros ataques web que abarcan archivos maliciosos, sitios web, scripts y redes comprometidas.

Con SquareX, las empresas también pueden proporcionar a los contratistas y trabajadores remotos acceso seguro a aplicaciones internas, SaaS empresarial y convertir los navegadores de dispositivos BYOD/no administrados en sesiones de navegación confiables.

Contacto

Jefe de Relaciones Públicas

Junice Liew

Cuadrado X

[email protected]