SquareX laat zien hoe kwaadaardige extensies de MV3-beperkingen van Google omzeilen

**SINGAPORE, Singapore, 3 oktober 2024/CyberNewsWire/--**Op DEF CON 32, de VierkantX onderzoeksteam gaf een krachtige presentatie met de titel Sneaky Extensions: The MV3 Escape Artists, waarin ze hun bevindingen deelden over de manier waarop kwaadaardige browserextensies de nieuwste standaard van Google voor het bouwen van Chrome-extensies omzeilen: de beveiligingsfuncties van Manifest V3 (MV3), waardoor miljoenen gebruikers en bedrijven gevaar lopen.

Het onderzoeksteam van SquareX heeft publiekelijk rogue-extensies gedemonstreerd die op MV3 zijn gebouwd. De belangrijkste bevindingen zijn:

• Extensies kunnen live videostreams stelen, zoals die van Google Meet en Zoom Web, zonder dat hiervoor speciale toestemmingen nodig zijn.
• De frauduleuze extensies kunnen namens een gebruiker medewerkers toevoegen aan privé GitHub-repositories.
• De extensies kunnen inhaken op inloggebeurtenissen om gebruikers door te sturen naar een pagina die zich voordoet als een inlogpagina voor een wachtwoordbeheerder.
• Extensies die op MV3 zijn gebouwd, kunnen net als hun MV2-tegenhangers eenvoudig sitecookies, browsegeschiedenis, bladwijzers en downloadgeschiedenis stelen.
• De frauduleuze extensies kunnen pop-ups toevoegen aan de actieve webpagina, zoals valse prompts voor software-updates, en gebruikers misleiden zodat ze malware downloaden.

Browserextensies zijn al lang een doelwit voor kwaadwillende actoren — een onderzoek van Stanford University rapport schat dat er de afgelopen jaren 280 miljoen schadelijke Chrome-extensies zijn geïnstalleerd. Google heeft moeite om dit probleem aan te pakken en vertrouwt vaak op onafhankelijke onderzoekers om schadelijke extensies te identificeren.

In sommige gevallen heeft Google ze handmatig moeten verwijderen, zoals de 32 extensies verwijderd in juni vorig jaar. Tegen de tijd dat ze werden verwijderd, waren deze extensies al 75 miljoen keer geïnstalleerd. De meeste van deze problemen ontstonden omdat de Chrome-extensiestandaard, Manifest Version 2 (MV2), vol zat met mazen in de wet die extensies buitensporige rechten verleenden en toestonden dat scripts on the fly werden geïnjecteerd, vaak zonder dat gebruikers het wisten.

Hierdoor konden kwaadwillenden deze kwetsbaarheden eenvoudig misbruiken om gegevens te stelen, malware te injecteren en toegang te krijgen tot gevoelige informatie. MV3 werd geïntroduceerd om deze problemen aan te pakken door de beveiliging te verscherpen, machtigingen te beperken en te vereisen dat extensies hun scripts vooraf declareren.

Uit onderzoek van SquareX blijkt echter dat MV3 tekortschiet op veel kritieke gebieden, wat aantoont hoe aanvallers nog steeds minimale toestemmingen kunnen misbruiken om kwaadaardige activiteiten uit te voeren. Zowel individuele gebruikers als ondernemingen worden blootgesteld, zelfs onder het nieuwere MV3-framework.

De huidige beveiligingsoplossingen, zoals endpoint security, SASE/SSE en Secure Web Gateways (SWG), hebben geen zicht op geïnstalleerde browserextensies. Er is momenteel geen volwassen tool of platform dat deze extensies dynamisch kan instrumenteren, waardoor ondernemingen niet nauwkeurig kunnen beoordelen of een extensie veilig of kwaadaardig is.

SquareX streeft naar het hoogste niveau van cyberbeveiliging voor ondernemingen en heeft belangrijke innovatieve functies ontwikkeld om dit probleem op te lossen, waaronder:

• Gedetailleerde beleidsregels om te bepalen welke extensies moeten worden toegestaan/geblokkeerd en parameters omvatten extensiemachtigingen, aanmaakdatum, laatste update, recensies, beoordelingen, gebruikersaantal, auteurskenmerken, enz.
• SquareX blokkeert netwerkverzoeken die door extensies tijdens runtime worden verzonden – op basis van beleid, heuristiek en inzichten in machine learning
• SquareX experimenteert ook met dynamische analyse van Chrome-extensies met behulp van een aangepaste Chromium-browser in zijn cloudserver

Deze maken deel uit van SquareX's Browserdetectie en -respons oplossing die wordt ingezet bij middelgrote ondernemingen en die deze aanvallen effectief blokkeert.

Vivek Ramachandran , Oprichter en CEO van VierkantX , waarschuwde voor de toenemende risico's: "Browserextensies zijn een blinde vlek voor EDR/XDR en SWG's hebben geen manier om hun aanwezigheid af te leiden. Dit heeft browserextensies tot een zeer effectieve en krachtige techniek gemaakt om stilletjes te worden geïnstalleerd en zakelijke gebruikers te monitoren, en aanvallers gebruiken ze om communicatie via weboproepen te monitoren, namens het slachtoffer te handelen om toestemmingen te geven aan externe partijen, cookies en andere sitegegevens te stelen, enzovoort."

"Ons onderzoek bewijst dat het zonder dynamische analyse en de mogelijkheid voor bedrijven om strikte beleidsregels toe te passen, niet mogelijk zal zijn om deze aanvallen te identificeren en te blokkeren. Google MV3, hoewel goed bedoeld, is nog ver verwijderd van het afdwingen van beveiliging in zowel de ontwerp- als de implementatiefase", aldus Vivek Ramachandran.

Over SquareX

VierkantX helpt organisaties bij het detecteren, beperken en opsporen van bedreigingen bij webaanvallen op hun gebruikers in realtime.

De Browser Detection and Response (BDR)-oplossing van SquareX is de eerste in de branche en richt zich op browserbeveiliging met een aanvalsgerichte aanpak. Zo worden zakelijke gebruikers beschermd tegen geavanceerde bedreigingen, zoals schadelijke QR-codes, browser-in-de-browser-phishing, macrogebaseerde malware, schadelijke extensies en andere webaanvallen die betrekking hebben op schadelijke bestanden, websites, scripts en gecompromitteerde netwerken.

Met SquareX kunnen ondernemingen contractanten en externe werknemers ook veilige toegang bieden tot interne applicaties, enterprise SaaS en de browsers op BYOD/onbeheerde apparaten omzetten in vertrouwde browsersessies.

Contact

Hoofd PR

Juni Liew

VierkantX

[email protected]