Google’ın bunun olmasını engellemeyi amaçlayan bir standardı benimsemesine rağmen, insanların şifrelerini ve diğer hassas verilerini çalan, kötü amaçlı ancak yasal görünen Google Chrome tarayıcı uzantıları, resmi uygulama mağazasına girmeye devam edebilir.
Bu, Chrome’un en son güvenlik ve gizlilik standardı olan Manifest V3 ile uyumlu olmasına rağmen Chrome Web Mağazası inceleme sürecini başarıyla geçen, kavram kanıtı niteliğinde, veri çalan bir tarayıcı uzantısı oluşturan Wisconsin-Madison Üniversitesi’ndeki araştırmacıların sözleridir. , çevrimiçi olarak yayınlanan bir araştırma makalesinde bildirdiler.
Google Chrome’un (Microsoft Edge ve Mozilla Firefox’un da artık desteklediği) Manifest V3’ü benimsemesi, tarayıcı uzantılarına etkili bir şekilde çalışmak için ihtiyaç duydukları erişime izin vermek ile kötü amaçlı uzantılara aynı erişimi vermeyerek kullanıcıları korumak arasında bir “dengeleme eylemidir”, Mark Stockley, Malwarebytes Labs’tan bir siber güvenlik savunucusu, bu hafta yayınlanan bir blog yazısında şunu yazdı:
“Standart, özellikle uzantıların uzak web sitelerinden kod indirmesini durdurarak güvenliği çeşitli şekillerde sıkılaştırıyor” diye yazdı. Bu da, yüklendikten sonra işlevlerini değiştirmelerini engeller ve Google’ın, bir uzantının Chrome mağazasında yayınlanmasına izin vermeden önce ne yaptığını anlamasına olanak tanır.
Ancak Google’ın Manifest V3’ü benimsemesi, Wisconsin-Madison Üniversitesi’nden araştırmacılar Asmit Nayak, Rishabh Khandelwal ve Kassem Fawaz’ın, Chrome mağazasının inceleme sürecini atlamak için statik ve dinamik kod yerleştirme saldırılarından tekniklerden yararlanan bir tarayıcı uzantısı oluşturmasını engellemedi.
Uzantı Nasıl Çalışır?
Araştırmacılar özellikle giriş alanlarında iki güvenlik açığını ortaya çıkardılar; bunlardan biri, makalelerinde “web sayfasının HTML kaynak kodunda düz metin olarak şifrelerin endişe verici bir şekilde keşfedilmesi” idi.
Uzantılarının hala başarılı bir şekilde tarayıcılardan veri çalabilmesinin nedeni, Manifest V3’ün benimsenmesine rağmen “uzantılar ile web sayfaları arasındaki etkileşimin değişmemiş olmasıdır” diye yazdılar.
Gazeteye göre “Uzantılar, kullanıcıların şifreler, Sosyal Güvenlik numaraları ve kredi kartı bilgileri gibi hassas bilgileri girebileceği metin giriş alanları da dahil olmak üzere web sayfalarının tüm içeriğine hâlâ erişebiliyor.”
Stockley, araştırmacıların uzantılarını “web sitelerinde ChatGPT benzeri işlevler sunan GPT tabanlı bir asistan” olarak gizlediklerini ve bunun da tüm web sitelerinde çalışmak için makul bir şekilde izin istemesine olanak tanıdığını açıkladı.
İnceleme sürecini geçtikten sonra kaldırılan uzantı — Web siteleri ve tarayıcıların etkileşiminde varlığını sürdüren güvenlik açıklarına dayalı olarak üç saldırı gerçekleştirebilir: kaynak çıkarma saldırısı, değer saldırısı ve öğe değiştirme saldırısı.
İlk saldırı, araştırmacıların web sitesi giriş alanlarının hassas değerlerini öğenin dış HTML’sinden kopyalamasına olanak tanıdı; ikincisi hedef giriş alanını seçmelerine ve hassas değerleri okumalarına olanak sağladı; ve üçüncüsü, hassas değerleri çıkarmak için JavaScript tabanlı gizlemeyi atlamalarına izin verdi.
Uzantıların Web İşlevlerine Çok Fazla Erişimi Var
Stockley, tarayıcı saldırılarının başarısının, tarayıcı uzantılarının birinin ziyaret ettiği her web sayfasının Belge Nesne Modeline (DOM) “tam ve sınırsız erişime” sahip olmasına bağlı olduğunu açıkladı. DOM, bilgisayar belleğindeki bir web sayfasının erişilebilen ve değiştirilebilen bir temsilidir ve sayfanın anında değiştirilmesine olanak tanır.
“Bir sayfanın DOM’sine tam erişim, uzantılara, şifrelerinizi yazdığınız alanlar gibi metin giriş alanlarını okumayı veya değiştirmeyi de içeren muazzam bir güç sağlar” diye yazdı.
Araştırmacıların tekniğinin başarısı sayfanın tasarlanma şekline bağlı olsa da, google.com, facebook.com, gmail.com, cloudflare.com ve amazon.com gibi en iyi 10.000 web sitesinin çoğu savunmasızdır. Araştırmacılar, diğerlerinin yanı sıra, iddia etti.
“Ölçümlerimiz ve vaka çalışmalarımız, bu güvenlik açıklarının çeşitli web sitelerinde yaygın olduğunu, şifreler gibi hassas kullanıcı bilgilerinin yüksek trafikli sitelerin HTML kaynak kodunda bile açığa çıktığını ortaya koyuyor” diye yazdılar.
Ayrıca, uzantıların yaklaşık %12,5’inin bu güvenlik açıklarından yararlanmak için gerekli izinlere sahip olduğunu yazan araştırmacılar, şifre alanlarına doğrudan erişen 190 uzantıyı tespit etti.
Hassas Tarayıcı Verilerini Koruma
Kötü amaçlı tarayıcı uzantılarının yalnızca mağazasından kötü eklentileri kaldırmak için yıllardır zorlu bir mücadele veren Google Chrome için değil, tüm tarayıcılar için ne kadar büyük bir risk oluşturduğu bir sır değil. Aslında son araştırmalar, şu anda yüklü olan tüm tarayıcı uzantılarının yarısından fazlasının yüksek riskli olduğunu ve bunları kullanan kuruluşlara büyük zarar verme potansiyeline sahip olduğunu ortaya çıkardı.
Araştırmacılar, makalelerinin ortaya çıkardığı tehditlere karşı koymak için, bir tarayıcıya eklenti paketi sağlayacak “cıvata bağlantılı” bir çözüm ve doğrudan geliştirilen “yerleşik” bir çözüm şeklinde uygulanabilecek karşı önlemleri paylaştılar. tarayıcının kendisinde.
İlki, web sitesi geliştiricilerinin benimseyebileceği ve hassas giriş alanlarını korumalarına olanak tanıyan, önerilen bir JavaScript paketidir. Araştırmacılar, ikinci çözümün, bir uzantı hassas giriş alanlarına eriştiğinde, “hem hassas giriş alanı seçildiğinde hem de değeri okunduğunda” kullanıcılara bilgi veren, tarayıcı düzeyinde bir uyarı olacağını yazdı.