SquareX, Kötü Amaçlı Uzantıların Google’ın MV3 Kısıtlamalarını Nasıl Aştığını Gösteriyor


DEF CON 32’de SquareX araştırma ekibi, Sinsi Uzantılar: MV3 Kaçış Sanatçıları başlıklı çarpıcı bir sunum gerçekleştirdi ve burada kötü amaçlı tarayıcı uzantılarının Google’ın krom uzantıları oluşturmaya yönelik en son standardını nasıl atladığına dair bulgularını paylaştılar: Manifest V3 (MV3) Milyonlarca kullanıcıyı ve işletmeyi riske atan güvenlik özellikleri.

SquareX’in araştırma ekibi, MV3 üzerine kurulu hileli uzantıları kamuya açıkladı. Temel bulgular şunları içerir:

  • Uzantılar, Google Meet ve Zoom Web gibi canlı video akışlarını özel izin gerektirmeden çalabilir.
  • Hileli uzantılar, özel GitHub depolarına ortak çalışanlar eklemek için kullanıcı adına hareket edebilir.
  • Uzantılar, kullanıcıları şifre yöneticisi girişi olarak gizlenen bir sayfaya yönlendirmek için giriş etkinliklerine bağlanabiliyor.
  • MV3 üzerinde oluşturulan uzantılar, MV2 benzerleri gibi site çerezlerini, tarama geçmişini, yer işaretlerini ve indirme geçmişini kolaylıkla çalabilir.
  • Hileli uzantılar, aktif web sayfasına sahte yazılım güncelleme istemleri gibi pop-up’lar ekleyerek kullanıcıları kötü amaçlı yazılım indirmeleri için kandırabilir.

Tarayıcı uzantıları uzun süredir kötü niyetli aktörlerin hedefi olmuştur; Stanford Üniversitesi’nin bir raporu, son yıllarda 280 milyon kötü amaçlı Chrome uzantısının yüklendiğini tahmin etmektedir. Google, kötü amaçlı uzantıları belirlemek için genellikle bağımsız araştırmacılara güvenerek bu sorunu çözmeye çalıştı. Bazı durumlarda Google, geçen yılın haziran ayında kaldırılan 32 uzantı gibi bunları manuel olarak kaldırmak zorunda kaldı. Kaldırıldıkları zamana kadar bu uzantılar 75 milyon kez kurulmuştu.

– Reklamcılık –
DÖRTDÖRT

Bu sorunların çoğu, Chrome uzantı standardı Manifest Sürüm 2’nin (MV2), uzantılara aşırı izinler veren ve genellikle kullanıcıların bilgisi olmadan komut dosyalarının anında eklenmesine izin veren boşluklarla dolu olması nedeniyle ortaya çıktı. Bu, kötü niyetli aktörlerin verileri çalmak, kötü amaçlı yazılım eklemek ve hassas bilgilere erişmek için bu güvenlik açıklarından kolayca yararlanmasına olanak tanıdı. MV3, güvenliği sıkılaştırarak, izinleri sınırlayarak ve uzantıların komut dosyalarını önceden bildirmelerini zorunlu kılarak bu sorunları çözmek için tanıtıldı.

Ancak SquareX’in araştırması, MV3’ün birçok kritik alanda yetersiz kaldığını gösteriyor ve bu da saldırganların kötü amaçlı faaliyetler gerçekleştirmek için hâlâ minimum izinlerden nasıl yararlanabildiğini gösteriyor. Daha yeni MV3 çerçevesi altında bile hem bireysel kullanıcılar hem de şirketler riske maruz kalıyor.

Uç nokta güvenliği, SASE/SSE ve Güvenli Web Ağ Geçitleri (SWG) gibi günümüzün güvenlik çözümleri, yüklü tarayıcı uzantılarına ilişkin görünürlükten yoksundur. Şu anda bu uzantıları dinamik olarak denetleyebilecek olgun bir araç veya platform bulunmadığından kuruluşlar, bir uzantının güvenli mi yoksa kötü amaçlı mı olduğunu doğru bir şekilde değerlendirme olanağından yoksun kalıyor.

SquareX, kuruluşlar için en yüksek düzeyde siber güvenlik koruması sağlamaya kararlıdır ve bu sorunu çözmek için aşağıdakileri içeren temel yenilikçi özellikler geliştirmiştir:

  • Hangi uzantılara izin verileceği/engelleneceğine karar vermeye yönelik ayrıntılı politikalar ve uzantı izinleri, oluşturulma tarihi, son güncelleme, incelemeler, derecelendirmeler, kullanıcı sayısı, yazar özellikleri vb. gibi parametreler
  • SquareX, politikalara, buluşsal yöntemlere ve makine öğrenimi içgörülerine dayalı olarak uzantılar tarafından gönderilen ağ isteklerini çalışma zamanında engeller
  • SquareX ayrıca bulut sunucusunda değiştirilmiş bir Chromium tarayıcı kullanarak Chrome Uzantılarının dinamik analizini de deniyor

Bunlar, SquareX’in orta-büyük işletmelerde kullanılan ve bu saldırıları etkili bir şekilde engelleyen Tarayıcı Tespit ve Yanıt çözümünün bir parçasıdır.

Vivek RamachandranKurucusu ve CEO’su KareXartan riskler konusunda uyardı: “Tarayıcı uzantıları EDR/XDR için kör bir noktadır ve SWG’lerin bunların varlığını anlamalarının hiçbir yolu yoktur. Bu, tarayıcı uzantılarını sessizce kurulmak ve kurumsal kullanıcıları izlemek için çok etkili ve güçlü bir teknik haline getirdi ve saldırganlar, web aramaları üzerinden iletişimi izlemek, harici taraflara izin vermek için kurban adına hareket etmek, çerezleri ve diğer site verilerini çalmak için bunlardan yararlanıyor. ve benzeri.” “Araştırmamız, dinamik analiz ve işletmelerin sıkı politikalar uygulama becerisi olmadan bu saldırıları tespit edip engellemenin mümkün olmayacağını kanıtlıyor. Google MV3, her ne kadar iyi niyetli olsa da, hem tasarım hem de uygulama aşamasında güvenliği uygulamaktan hala çok uzakta” dedi Vivek Ramachandran.

SquareX Hakkında

SquareX, kuruluşların kullanıcılarına karşı gerçekleşen istemci tarafı web saldırılarını gerçek zamanlı olarak tespit etmesine, azaltmasına ve tehdit avlamasına yardımcı olur.

SquareX’in sektörde bir ilk olan Tarayıcı Tespit ve Yanıt (BDR) çözümü, tarayıcı güvenliğine saldırı odaklı bir yaklaşım getirerek kurumsal kullanıcıların kötü amaçlı QR Kodları, Tarayıcıdaki Tarayıcı kimlik avı, makro tabanlı kötü amaçlı yazılımlar gibi gelişmiş tehditlere karşı korunmasını sağlar. kötü amaçlı uzantılar ve kötü amaçlı dosyaları, web sitelerini, komut dosyalarını ve güvenliği ihlal edilmiş ağları kapsayan diğer web saldırıları.

SquareX ile işletmeler yüklenicilere ve uzak çalışanlara dahili uygulamalara ve kurumsal SaaS’a güvenli erişim sağlayabilir ve BYOD/yönetilmeyen cihazlardaki tarayıcıları güvenilir tarama oturumlarına dönüştürebilir.

Temas etmek

PR Başkanı
Junice Liew
KareX
[email protected]



Source link