- Uit onderzoek blijkt dat Manifest V3 te kampen kan hebben met beveiligingsproblemen
- Het geüpgradede Chromium-manifest staat nog steeds kwaadaardige extensies toe
- Sommige beveiligingstools hebben moeite met het identificeren van gevaarlijke extensies
Browserextensies zijn al lange tijd een handig hulpmiddel voor gebruikers productiviteit en het stroomlijnen van taken. Ze zijn echter ook een belangrijk doelwit geworden voor kwaadwillende actoren die kwetsbaarheden willen misbruiken, waarbij ze zich zowel op individuele gebruikers als op bedrijven richten.
Ondanks pogingen om de beveiliging te verbeteren, hebben veel van deze extensies manieren gevonden om mazen in de wet te misbruiken Googlen's nieuwste uitbreidingsframework, Manifest V3 (MV3).
Recent onderzoek van VierkanteX heeft onthuld hoe deze frauduleuze extensies nog steeds belangrijke beveiligingsmaatregelen kunnen omzeilen, waardoor miljoenen gebruikers worden blootgesteld aan risico's zoals gegevensdiefstal, malwareen ongeautoriseerde toegang tot gevoelige informatie.
Browserextensies vormen nu een grotere bedreiging
Google heeft altijd geworsteld met de problemen van extensies in Chrome. In juni 2023 moest het bedrijf wel verwijder handmatig 32 exploiteerbare extensies die 72 miljoen keer werden geïnstalleerd voordat ze werden verwijderd.
Het vorige uitbreidingsframework van Google, Manifest Version 2 (MV2), was notoir problematisch. Het verleende vaak overmatige machtigingen voor extensies en maakte het mogelijk dat scripts werden geïnjecteerd zonder dat de gebruiker hiervan op de hoogte was, waardoor het voor aanvallers gemakkelijker werd om gegevens te stelen, toegang te krijgen tot gevoelige informatie en malware te introduceren.
Als reactie hierop introduceerde Google Manifest V3, dat tot doel had de beveiliging aan te scherpen door de machtigingen te beperken en extensies te verplichten om hun scripts vooraf te declareren. Hoewel verwacht werd dat MV3 de kwetsbaarheden in MV2 zou oplossen, blijkt uit het onderzoek van SquareX dat het op kritieke gebieden tekortschiet.
Schadelijke extensies die op MV3 zijn gebouwd, kunnen nog steeds beveiligingsfuncties omzeilen en live videostreams stelen samenwerkingsplatforms zoals Google Meet en Zoom Web zonder dat speciale machtigingen nodig zijn. Ze kunnen ook ongeautoriseerde bijdragers toevoegen aan privé GitHub-repository's en gebruikers zelfs doorsturen naar phishing-pagina's, vermomd als wachtwoordbeheerders.
Bovendien hebben deze kwaadaardige extensies toegang tot de browsegeschiedenis, cookies, bladwijzers en downloadgeschiedenis, op een vergelijkbare manier als hun MV2-tegenhangers, door een valse software-updatepop-up in te voegen die gebruikers ertoe verleidt de malware te downloaden.
Zodra de kwaadaardige extensie is geïnstalleerd, kunnen individuen en bedrijven de activiteiten van deze extensies niet detecteren, waardoor ze zichtbaar blijven. Beveiligingsoplossingen zoals eindpuntbeschermingSecure Access Service Edge (SASE) en Veilige webgateways (SWG) kan browserextensies niet dynamisch beoordelen op potentiële risico's.
Om deze uitdagingen aan te pakken heeft SquareX verschillende oplossingen ontwikkeld die gericht zijn op het verbeteren van de beveiliging van browserextensies. Hun aanpak omvat verfijnd beleid waarmee beheerders kunnen beslissen welke extensies ze moeten blokkeren of toestaan op basis van factoren zoals extensierechten, updategeschiedenis, recensies en gebruikersbeoordelingen.
Deze oplossing kan netwerkverzoeken van extensies in realtime blokkeren, op basis van beleid, machine learning-inzichten en heuristische analyse. Daarnaast experimenteert SquareX met dynamische analyse van Chrome-extensies met behulp van een aangepast Chromium browser op zijn cloudserver, waardoor dieper inzicht wordt geboden in het gedrag van mogelijk schadelijke extensies.
“Browserextensies zijn een blinde vlek voor EDR/XDR en SWG’s kunnen hun aanwezigheid niet afleiden”, zegt Vivek Ramachandran, oprichter en CEO van SquareX.
“Hierdoor zijn browserextensies een zeer effectieve en krachtige techniek geworden om geruisloos geïnstalleerd te worden en zakelijke gebruikers te monitoren, en aanvallers gebruiken ze om de communicatie via weboproepen te monitoren, namens het slachtoffer op te treden om toestemming te geven aan externe partijen, cookies en andere site-extensies te stelen. gegevens enzovoort.”
“Ons onderzoek bewijst dat het zonder dynamische analyse en de mogelijkheid voor bedrijven om streng beleid toe te passen niet mogelijk zal zijn om deze aanvallen te identificeren en te blokkeren. Hoewel goed bedoeld, is Google MV3 nog ver verwijderd van het afdwingen van beveiliging in zowel de ontwerp- als de implementatiefase”, aldus Ramachandran.
