Kötü amaçlı tarayıcı uzantıları, Google’ın Chrome uzantılarına yönelik en son güvenlik ve gizlilik standardını atlıyor ve Chrome Web Mağazası’na girmenin yolunu buluyor. kuruluşları ve bireyleri ciddi risk altına sokar.
Bu, yakın zamanda kötü niyetli kişilerin zararlı tarayıcı eklentilerini Google’ın Chrome uzantıları için sunduğu en son Manifest V3 güncellemesindeki korumaları aşarak nasıl gizleyebileceğini gösteren Singapur merkezli SquareX’teki araştırmacılara göre böyle.
Kötü Amaçlı Chrome Uzantıları Devam Eden Bir Sorundur
DefCon 32’deki sunumda, araştırmacılar gösterdi bu tür uzantıların herhangi bir özel izin gerektirmeden Google Meet ve Zoom gibi platformlardan canlı video yayınlarını nasıl çalabildiğini. Daha sonra saldırganların, kullanıcıları kimlik bilgileri çalan sayfalara yönlendirmek, özel GitHub depolarına ortak çalışanlar eklemek ve site çerezlerini, göz atma geçmişini ve diğer kullanıcı verilerini nispeten kolay bir şekilde çalmak için Manifest V3 standardını temel alan uzantıları nasıl kullanabileceğini gösterdiler.
Google tanıtıldı Manifest V3 2018’de önceki Manifest V2 standardında yer alan ve kötü niyetli kişilerin çeşitli kötü amaçlı özelliklere sahip Chrome uzantıları oluşturmasına daha kolay olanak sağlayan sorunları çözmek için bu güncellemeyi kullandık. Tarafından yapılan bir çalışma Stanford Üniversitesi’ndeki araştırmacılar Temmuz 2020 ile Şubat 2023 arasında bu tür kötü amaçlı Chrome uzantılarının 280 milyon gibi şaşırtıcı bir şekilde yüklendiği sonucuna vardı.
Google’ın açıkladığı gibi Manifest V3, şirketin “uzantıların gizliliğini, güvenliğini ve performansını iyileştirme” yönündeki daha geniş çabasının bir parçası. Manifest V3’teki iyileştirmeler arasında daha katı bir içerik güvenliği politikası, güncellenmiş ve daha güvenli API’ler, kullanıcılar için daha ayrıntılı izin kontrolü ve uzantıların kaynaklar arası istekte bulunabilmesine ilişkin değişiklikler yer alıyor. Chrome’un içerik engelleyen uzantıları işleme biçimini değiştiren güncelleme gibi bazı güncellemeler tartışmalıydı. Gizlilik savunucuları ve reklam engelleme uzantılarının yapımcıları, bu özelliği, Chrome kullanıcılarının reklamları ve izleme mekanizmalarını engelleme yeteneğini büyük ölçüde kısıtlayan bir özellik olarak tanımladılar. Ancak genel olarak Manifest V3’ün amacı, Chrome uzantılarıyla ilgili gelişmiş güvenlik ve gizlilik kontrolleridir.
SquareX’in CEO’su ve kurucusu Vivek Ramachandran, gerçek durumun biraz farklı olduğunu söylüyor. “[Manifest V3’s] izin modeli çok geniş kalıyor ve kötü niyetli aktörlerin veri çalmak için minimum izinlerden yararlanmasına olanak tanıyor” diyor.
Manifest V3 için Aşırı Geniş İzinler mi?
Bunun önemli bir örneği, bir uzantının ziyaret edilen sayfalardaki herhangi bir Web içeriğini değiştirmesine veya okumasına olanak tanıyan ana bilgisayar izinleridir. Ramachandran, “SquareX, yalnızca toplantı sahibinin iznini gerektiren bir Google Meet yayın çalma uzantısını gösterdi” diyor. “Bu tür izinler uzantı deposunda çok yaygındır. Aslında dilbilgisi denetleyicileri gibi birçok uzantı buna güvenir.”
Ramachandran, Manifest V3’ü temel alan yüzlerce hatta binlerce kötü amaçlı tarayıcı uzantısının zaten Chrome Web Mağazası’nda bulunduğunu tahmin ediyor. Manifest V3’e daha fazla uzantı eklendikçe bu sayının önemli ölçüde artmasını bekliyor.
Ramachandran, “Google’ın MV3’te daha sıkı güvenlik kontrolleri uygulaması gerekiyor” diyor. “Daha az kapsamlı, daha sağlam bir izin modeli geliştirmek için Web ve güvenlik topluluğuyla işbirliği yapmalılar. Ayrıca Google, uzantılara yönelik inceleme sürecini iyileştirmeli ve gerçek zamanlı davranışı izlemeye yönelik araçlar sunmalıdır.”
Google, SquareX’in araştırması hakkında yorum yapılmasına yönelik Dark Reading talebine hemen yanıt vermedi. Ancak İnternet devi daha önce, Chrome Web Mağazası’ndaki 250.000’den fazla tarayıcı uzantısıyla, bazı uzantıların kullanıcılar için risk oluşturabileceğini ve bazen bir şirketin politikalarını ihlal edebilecek izinler isteyebileceğini kabul etmişti.
Google, “Herhangi bir yazılımda olduğu gibi, uzantılar da risk oluşturabilir” dedi. blog yazısı Stanford araştırmacıları riskli uzantılarla ilgili makalelerini Chrome Web Mağazası’nda yayınladıktan kısa bir süre sonra.
Chrome Ekosistem Güvenliğini Artırma
Bu blog yazısında ve önceki güncellemelerde, bunun gibi Nisan 2023’te, Google, Chrome uzantılarıyla ilgili güvenliği artırma çabalarını vurguladı. Bunlar, güvenlik ekiplerinin kendi ortamlarında yüklü tüm uzantılara ilişkin politikaları görüntülemek ve ayarlamak için kullanabileceği tarayıcı uzantısı yönetimi yeteneklerini ve kullanıcılar bunları yüklemeden önce uzantıları inceleme yeteneğini içerir.
Chrome güvenlik özellikleri ayrıca, izleme ve yönetimi kolaylaştırmak için bir kullanıcı yeni bir tarayıcı uzantısı yükleyebileceği zaman yöneticileri uyaran bir özelliği de içerir. Geçtiğimiz yıl Google iki risk değerlendirme aracını kullanıma sundu: CRXcavator Ve Spin.AI Risk Değerlendirmesi — kurumsal yöneticilere uzantıları risk açısından değerlendirme ve puanlama yolu sağlar.
Google ayrıca bireylerin yüklü uzantılarının güvenlik riski oluşturup oluşturmadığını görmek için kullanabileceği bir kaynak olarak Chrome uzantıları sayfasına (chrome://extensions/) işaret ediyor; Google, yüklü herhangi bir uzantının şüpheli olduğunu tespit ederse sayfada bir uyarı paneli görünür. Bu tanım şunları içerir: kötü amaçlı yazılım içerdiğinden şüphelenilen tarayıcılar; Chrome Web Mağazası politikalarını ihlal eden tarayıcılar; yayınlanmamış ve bu nedenle artık desteklenmeyen uzantılar; ve gizlilik ve veri toplama uygulamaları hakkında açık olmayan uzantılar.
Google bir ayarlamıştı geçtiğimiz Haziran ayının son tarihi tarayıcı uzantısı üreticilerinin Manifest V3’e geçmesini sağladı ve aynı zamanda Manifest V2 uzantılarını Chrome’un önceden kararlı sürümlerinde de devre dışı bırakmaya başlayacağını belirtti. Şirket, kurumsal kuruluşlara Manifest V2 uzantılarını yeni sürüme geçirmeleri için Haziran 2025’e kadar süre verdi. 4 Ekim itibarıyla tüm Chrome tarayıcı uzantılarının %60,4’ü Manifest V3’e taşındı.
Ramachandran, işletmelerin kurulu uzantıları denetlemesi ve izinlerini sınırlaması gerektiğini söylüyor. Onun tavsiyesi, kuruluşların aynı zamanda ortamdaki uzantılar üzerinde daha iyi görünürlük ve kontrol sağlamasıdır. Kendisi, Chrome gibi tarayıcıları işletim sistemlerine benzer şekilde karmaşık platformlar olarak düşünmenizi öneriyor.
Ramachandran, “Uzantılar dahili uygulamalar olarak çalışır, ancak uç nokta güvenlik araçları yalnızca süreç düzeyinde görünürlüğe sahiptir” diyor. “Tarayıcı uzantılarının dahili olarak ne yaptığını değerlendiremez veya kontrol edemezler.”