SquareX აჩვენებს, თუ როგორ აცილებენ მავნე გაფართოებები Google-ის MV3 შეზღუდვებს

** სინგაპური, სინგაპური, 2024 წლის 3 ოქტომბერი/CyberNewsWire/--** DEF CON 32-ზე, SquareX კვლევითმა ჯგუფმა წარმოადგინა მძიმე პრეზენტაცია სახელწოდებით Sneaky Extensions: The MV3 Escape Artists, სადაც მათ გააზიარეს თავიანთი დასკვნები იმის შესახებ, თუ როგორ არღვევენ ბრაუზერის მავნე გაფართოებები Google-ის უახლეს სტანდარტს ქრომის გაფართოებების შესაქმნელად: Manifest V3 (MV3) უსაფრთხოების ფუნქციები, რაც მილიონობით მომხმარებელს აყენებს. და რისკის ქვეშ მყოფი ბიზნესები.

SquareX-ის კვლევითმა ჯგუფმა საჯაროდ აჩვენა ბოროტი გაფართოებები, რომლებიც აშენებულია MV3-ზე. ძირითადი აღმოჩენები მოიცავს:

• გაფართოებებს შეუძლიათ მოიპარონ პირდაპირი ვიდეო ნაკადები, როგორიცაა Google Meet და Zoom Web, სპეციალური ნებართვების საჭიროების გარეშე.
• მოტყუებულ გაფართოებებს შეუძლიათ იმოქმედონ მომხმარებლის სახელით, რათა დაამატონ თანამშრომლები კერძო GitHub საცავებში.
• გაფართოებებს შეუძლიათ ჩაერთონ შესვლის მოვლენებში, რათა მომხმარებლები გადამისამართონ გვერდზე, რომელიც შენიღბულია პაროლის მენეჯერის შესვლის სახით.
• MV3-ზე აგებულ გაფართოებებს შეუძლიათ მარტივად მოიპარონ საიტის ქუქი-ფაილები, დათვალიერების ისტორია, სანიშნეები და ჩამოტვირთვის ისტორია, ისევე როგორც მათი MV2 კოლეგები.
• მოტყუებულ გაფართოებებს შეუძლიათ დაამატონ ამომხტარი ფანჯრები აქტიურ ვებგვერდზე, როგორიცაა ყალბი პროგრამული უზრუნველყოფის განახლების მოთხოვნა, მომხმარებლების მოტყუება მავნე პროგრამების ჩამოტვირთვაში.

ბრაუზერის გაფართოებები დიდი ხანია იყო მავნე მსახიობების სამიზნე - სტენფორდის უნივერსიტეტი ანგარიში შეფასებით, ბოლო წლებში 280 მილიონი მავნე Chrome გაფართოება იყო დაინსტალირებული. Google იბრძოდა ამ პრობლემის გადასაჭრელად, ხშირად ეყრდნობოდა დამოუკიდებელ მკვლევარებს მავნე გაფართოებების იდენტიფიცირებისთვის.

ზოგიერთ შემთხვევაში, Google-ს მოუწია ხელით წაშალა ისინი, მაგალითად 32 გაფართოება ჩამორთმეული გასული წლის ივნისში. იმ დროისთვის, როდესაც ისინი ამოიღეს, ეს გაფართოებები უკვე 75 მილიონჯერ იყო დაინსტალირებული. ამ პრობლემების უმეტესობა წარმოიშვა იმის გამო, რომ Chrome-ის გაფართოების სტანდარტი, Manifest Version 2 (MV2) იყო გაჟღენთილი ხარვეზებით, რომლებიც ანიჭებდნენ გაფართოებებს ზედმეტ ნებართვებს და აძლევდნენ სკრიპტების ინექციას პირდაპირ, ხშირად მომხმარებლების ცოდნის გარეშე.

ეს საშუალებას აძლევდა მავნე აქტორებს მარტივად გამოეყენებინათ ეს დაუცველობა მონაცემების მოსაპარად, მავნე პროგრამების ინექციისა და მგრძნობიარე ინფორმაციაზე წვდომისთვის. MV3 დაინერგა ამ პრობლემების გადასაჭრელად უსაფრთხოების გამკაცრებით, ნებართვების შეზღუდვით და მათი სკრიპტების წინასწარ გამოცხადების გაფართოებების მოთხოვნით.

თუმცა, SquareX-ის კვლევამ აჩვენა, რომ MV3 ბევრ კრიტიკულ სფეროში ჩამორჩება, რაც აჩვენებს, თუ როგორ შეუძლიათ თავდამსხმელებს მინიმალური ნებართვების გამოყენება მავნე მოქმედებების განსახორციელებლად. როგორც ინდივიდუალური მომხმარებლები, ასევე საწარმოები არიან გამოვლენილი, თუნდაც უახლესი MV3 ჩარჩოში.

დღევანდელი უსაფრთხოების გადაწყვეტილებები, როგორიცაა საბოლოო წერტილის უსაფრთხოება, SASE/SSE და Secure Web Gateways (SWG), არ არის ხილვადობა დაინსტალირებული ბრაუზერის გაფართოებებში. ამჟამად არ არსებობს მომწიფებული ინსტრუმენტი ან პლატფორმა, რომელსაც შეუძლია დინამიურად დააინსტალიროს ეს გაფართოებები, რის გამოც საწარმოებს არ შეუძლიათ ზუსტად შეაფასონ, არის თუ არა გაფართოება უსაფრთხო ან მავნე.

SquareX მოწოდებულია საწარმოებისთვის კიბერუსაფრთხოების დაცვის უმაღლეს დონეზე და ამ პრობლემის გადასაჭრელად შექმნა ძირითადი ინოვაციური ფუნქციები, რომლებიც მოიცავს;

• დახვეწილი პოლიტიკის გადასაწყვეტად, რომელი გაფართოებების დაშვება/დაბლოკვა და პარამეტრები მოიცავს გაფართოების ნებართვებს, შექმნის თარიღს, ბოლო განახლებას, მიმოხილვებს, რეიტინგებს, მომხმარებელთა რაოდენობას, ავტორის ატრიბუტებს და ა.შ.
• SquareX ბლოკავს გაფართოებების მიერ გაგზავნილ ქსელის მოთხოვნებს გაშვების დროს – პოლიტიკის, ევრისტიკისა და მანქანათმცოდნეობის ანალიზის საფუძველზე
• SquareX ასევე ატარებს ექსპერიმენტებს Chrome Extensions-ის დინამიურ ანალიზზე, შეცვლილი Chromium ბრაუზერის გამოყენებით თავის ღრუბლოვან სერვერზე

ეს არის SquareX-ის ნაწილი ბრაუზერის გამოვლენა და რეაგირება გადაწყვეტა, რომელიც გამოიყენება საშუალო მსხვილ საწარმოებში და ეფექტურად ბლოკავს ამ შეტევებს.

ვივეკ რამაჩანდრანი , დამფუძნებელი და აღმასრულებელი დირექტორი SquareX , გააფრთხილა მზარდი რისკების შესახებ: „ბრაუზერის გაფართოებები EDR/XDR-სთვის ბრმა წერტილია და SWG-ებს არ აქვთ საშუალება დაადგინონ მათი არსებობა. ამან ბრაუზერის გაფართოებები ძალიან ეფექტურ და ძლიერ ტექნიკად აქცია ჩუმად დასაინსტალირებლად და კორპორატიული მომხმარებლების მონიტორინგისთვის, ხოლო თავდამსხმელები იყენებენ მათ ვებ ზარების კომუნიკაციის მონიტორინგისთვის, მსხვერპლის სახელით მოქმედებენ გარე მხარეებისთვის ნებართვების მისაცემად, ქუქიების და საიტის სხვა მონაცემების მოპარვის მიზნით. და ასე შემდეგ.”

„ჩვენი კვლევა ადასტურებს, რომ დინამიური ანალიზისა და საწარმოების მიერ მკაცრი პოლიტიკის გამოყენების უნარის გარეშე, შეუძლებელი იქნება ამ თავდასხმების იდენტიფიცირება და დაბლოკვა. Google MV3, მიუხედავად იმისა, რომ კარგად არის განზრახული, ჯერ კიდევ შორს არის უსაფრთხოების განმტკიცებისგან როგორც დიზაინის, ასევე განხორციელების ეტაპზე,” - თქვა ვივეკ რამაჩანდრანმა.

SquareX-ის შესახებ

SquareX ეხმარება ორგანიზაციებს რეალურ დროში აღმოაჩინონ, შეარბილონ და მოძებნონ საფრთხის შემცველი კლიენტის მხრიდან ვებ შეტევები, რომლებიც ხდება მათი მომხმარებლების წინააღმდეგ რეალურ დროში.

SquareX-ის პირველი ბრაუზერის გამოვლენისა და რეაგირების (BDR) გადაწყვეტა ბრაუზერის უსაფრთხოებაზე თავდასხმაზე ორიენტირებულ მიდგომას იღებს, რაც უზრუნველყოფს საწარმოს მომხმარებლების დაცვას ისეთი მოწინავე საფრთხეებისგან, როგორიცაა მავნე QR კოდები, ბრაუზერის ფიშინგი, მაკროზე დაფუძნებული მავნე პროგრამები. მავნე გაფართოებები და სხვა ვებ შეტევები, რომლებიც მოიცავს მავნე ფაილებს, ვებსაიტებს, სკრიპტებს და კომპრომეტირებულ ქსელებს.

SquareX-ით, საწარმოებს ასევე შეუძლიათ კონტრაქტორებს და დისტანციურ მუშაკებს უზრუნველყონ უსაფრთხო წვდომა შიდა აპლიკაციებზე, საწარმოს SaaS-ზე და გადააკეთონ ბრაუზერები BYOD/უმართავ მოწყობილობებზე სანდო დათვალიერების სესიებად.

კონტაქტი

პიარის ხელმძღვანელი

ჯუნის ლიუ

SquareX

[email protected]