418 lectures

SquareX montre comment les extensions malveillantes contournent les restrictions MV3 de Google

par CyberNewswire4m2024/10/03

Trop long; Pour lire

Les artistes de MV3 Escape ont partagé leurs découvertes sur la manière dont les extensions de navigateur malveillantes contournent la dernière norme de Google pour la création d'extensions Chrome

featured image - SquareX montre comment les extensions malveillantes contournent les restrictions MV3 de Google

**SINGAPOUR, Singapour, 3 octobre 2024/CyberNewsWire/--**Lors de la DEF CON 32, le CarréX L'équipe de recherche a fait une présentation percutante intitulée Sneaky Extensions: The MV3 Escape Artists, où elle a partagé ses découvertes sur la manière dont les extensions de navigateur malveillantes contournent la dernière norme de Google pour la création d'extensions Chrome : les fonctionnalités de sécurité de Manifest V3 (MV3), mettant ainsi en danger des millions d'utilisateurs et d'entreprises.

L'équipe de recherche de SquareX a présenté publiquement des extensions malveillantes basées sur MV3. Les principales conclusions sont les suivantes :

Les extensions peuvent voler des flux vidéo en direct, tels que ceux de Google Meet et Zoom Web, sans nécessiter d'autorisations spéciales.
Les extensions malveillantes peuvent agir au nom d'un utilisateur pour ajouter des collaborateurs à des référentiels GitHub privés.
Les extensions sont capables de se connecter aux événements de connexion pour rediriger les utilisateurs vers une page déguisée en connexion à un gestionnaire de mots de passe.
Les extensions construites sur MV3 peuvent voler les cookies du site, l'historique de navigation, les signets et l'historique de téléchargement en toute simplicité, comme leurs homologues MV2.
Les extensions malveillantes peuvent ajouter des fenêtres contextuelles à la page Web active, telles que de fausses invites de mise à jour de logiciels, incitant les utilisateurs à télécharger des logiciels malveillants.

Les extensions de navigateur sont depuis longtemps une cible pour les acteurs malveillants – une étude de l’Université de Stanford rapport Selon les estimations, 280 millions d'extensions Chrome malveillantes ont été installées ces dernières années. Google a eu du mal à résoudre ce problème, s'appuyant souvent sur des chercheurs indépendants pour identifier les extensions malveillantes.

Dans certains cas, Google a dû les supprimer manuellement, comme le 32 extensions Les extensions Chrome ont été supprimées en juin dernier. Au moment de leur suppression, elles avaient déjà été installées 75 millions de fois. La plupart de ces problèmes sont survenus parce que la norme d'extension Chrome, Manifest Version 2 (MV2), était criblée de failles qui accordaient aux extensions des autorisations excessives et permettaient l'injection de scripts à la volée, souvent à l'insu des utilisateurs.

Cela a permis aux acteurs malveillants d'exploiter facilement ces vulnérabilités pour voler des données, injecter des logiciels malveillants et accéder à des informations sensibles. MV3 a été introduit pour résoudre ces problèmes en renforçant la sécurité, en limitant les autorisations et en exigeant que les extensions déclarent leurs scripts au préalable.

Cependant, les recherches de SquareX montrent que MV3 est insuffisant dans de nombreux domaines critiques, ce qui démontre que les attaquants sont toujours en mesure d'exploiter des autorisations minimales pour mener des activités malveillantes. Les utilisateurs individuels et les entreprises sont tous exposés, même dans le cadre du nouveau framework MV3.

Les solutions de sécurité actuelles, telles que la sécurité des terminaux, SASE/SSE et les passerelles Web sécurisées (SWG), manquent de visibilité sur les extensions de navigateur installées. Il n'existe actuellement aucun outil ou plateforme mature capable d'instrumenter dynamiquement ces extensions, ce qui laisse les entreprises sans la possibilité d'évaluer avec précision si une extension est sûre ou malveillante.

SquareX s'engage à offrir le plus haut niveau de protection en matière de cybersécurité aux entreprises et a développé des fonctionnalités innovantes clés pour résoudre ce problème, notamment :

Des politiques détaillées pour décider quelles extensions autoriser/bloquer et les paramètres incluent les autorisations d'extension, la date de création, la dernière mise à jour, les avis, les notes, le nombre d'utilisateurs, les attributs de l'auteur, etc.
SquareX bloque les requêtes réseau envoyées par les extensions au moment de l'exécution, en fonction des politiques, des heuristiques et des informations issues de l'apprentissage automatique
SquareX expérimente également l'analyse dynamique des extensions Chrome à l'aide d'un navigateur Chromium modifié sur son serveur cloud

Ceux-ci font partie de SquareX Détection et réponse du navigateur solution qui est déployée dans les moyennes et grandes entreprises et qui bloque efficacement ces attaques.

Vivek Ramachandran , Fondateur et PDG de CarréX , a mis en garde contre les risques croissants : « Les extensions de navigateur sont un angle mort pour l'EDR/XDR et les SWG n'ont aucun moyen de déduire leur présence. Cela a fait des extensions de navigateur une technique très efficace et puissante pour être installées silencieusement et surveiller les utilisateurs d'entreprise, et les attaquants les exploitent pour surveiller les communications via les appels Web, agir au nom de la victime pour accorder des autorisations à des parties externes, voler des cookies et d'autres données de site, etc. »

« Nos recherches démontrent que sans analyse dynamique et sans la capacité des entreprises à appliquer des politiques rigoureuses, il ne sera pas possible d’identifier et de bloquer ces attaques. Google MV3, bien que bien intentionné, est encore loin d’assurer la sécurité à la fois lors de la phase de conception et de mise en œuvre », a déclaré Vivek Ramachandran.

À propos de SquareX

CarréX aide les organisations à détecter, atténuer et traquer les attaques Web côté client qui se produisent contre leurs utilisateurs en temps réel.

La solution de détection et de réponse du navigateur (BDR) de SquareX, une première dans le secteur, adopte une approche axée sur les attaques en matière de sécurité du navigateur, garantissant que les utilisateurs d'entreprise sont protégés contre les menaces avancées telles que les codes QR malveillants, le phishing Browser-in-the-Browser, les logiciels malveillants basés sur des macros, les extensions malveillantes et autres attaques Web englobant des fichiers malveillants, des sites Web, des scripts et des réseaux compromis.

Avec SquareX, les entreprises peuvent également fournir aux sous-traitants et aux travailleurs à distance un accès sécurisé aux applications internes, au SaaS d'entreprise et convertir les navigateurs sur les appareils BYOD / non gérés en sessions de navigation fiables.