Yeni bir araştırmaya göre, kuruluşların Google Workspace ve Microsoft 365 gibi SaaS uygulamalarıyla çalışırken kullanmasına izin verdiği birçok tarayıcı uzantısı, yüksek düzeyde içeriğe erişim sağlıyor ve veri hırsızlığı ve uyumluluk sorunları gibi riskler sunuyor.
Spin.AI’deki araştırmacılar yakın zamanda, kurumsal ortamlarda kullanımda olan yaklaşık 300.000 tarayıcı uzantısı ve üçüncü taraf OAuth uygulaması üzerinde bir risk değerlendirmesi yaptı. Odak noktası, Google’ın Chrome’u ve Microsoft’un Edge’i gibi birden çok tarayıcıdaki Chromium tabanlı tarayıcı uzantılarıydı.
Yüksek Riskli Uzantılar
Çalışma, kurulu uzantıların %51’inin yüksek riskli olduğunu ve bunları kullanan kuruluşlara büyük zarar verme potansiyeline sahip olduğunu gösterdi. Uzantıların tümü, kurumsal uygulamalardan hassas verileri yakalama, kötü amaçlı JavaScript çalıştırma ve bankacılık ayrıntıları ve oturum açma kimlik bilgileri dahil olmak üzere korunan verileri gizlice harici taraflara gönderme yeteneğine sahipti.
Çoğu uzantı — %53 — Spin’in değerlendirdiği, üretkenlikle ilgili uzantılardı. Ancak en kötüsü – en azından güvenlik ve gizlilik açısından – bulut yazılım geliştirme ortamlarında kullanılan tarayıcı uzantılarıydı: Spin, bunların %56’sını yüksek güvenlik riski olarak değerlendirdi.
Bu hafta yayınlanan bir raporun yazarlarından biri olan Davit Asatryan, “Kurumlar için bu raporun ana çıkarımı, tarayıcı uzantılarıyla ilişkili önemli siber güvenlik riskleridir” diyor. “Bu uzantılar, kullanıcı deneyimini ve üretkenliğini artırmak için çeşitli özellikler sunarken, Chrome ve Edge gibi tarayıcılarda depolanan veriler veya Google Workspace ve Microsoft 365 gibi platformlarda depolanan SaaS verileri için ciddi tehditler oluşturabilir” diyor.
Bir tehdit aktörünün meşru ChatGPT tarayıcı eklentisi olduğu iddia edilen ancak gerçekte Facebook hesaplarını ele geçiren bir Truva atı olan bir tarayıcı uzantısı yüklediği yakın tarihli bir olay buna bir örnektir. Binlerce kullanıcı uzantıyı yükledi ve hemen Facebook hesabı kimlik bilgileri çalındı. Ele geçirilen hesaplar arasında birkaç bin işletme hesabı vardı.
Google, silahlı uzantıyı resmi Chrome Mağazasından hızla kaldırdı. Ancak bu, başkalarının diğer ChatGPT uzantılarını aynı mağazaya ücretsiz olarak yüklemesini engellemedi: Spin, Mayıs ayında yalnızca 11 olan Chrome web mağazasında Ağustos ayında 200’den fazla ChatGPT uzantısı buldu.
Gevşek Kontroller
Spin’in analizi, 2.000’den fazla çalışanı olan kuruluşların ortalama 1.454 kurulu uzantıya sahip olduğunu gösterdi. Bunlar arasında en yaygın olanları üretkenlikle ilgili uzantılar, geliştiricilere yardımcı olan araçlar ve daha iyi erişilebilirlik sağlayan uzantılardı. 2.000’den az çalışanı olan kuruluşlarda %27’ye kıyasla, bu uzantıların üçte birinden fazlası (%35) yüksek risk taşıyordu.
Spin’in raporundaki şaşırtıcı çıkarımlardan biri, kuruluşların herhangi bir olası güvenlik açığını dikkate almadan özgürce kullandıkları görünen anonim yazarlara sahip nispeten yüksek sayıda tarayıcı uzantısıdır – 42.938 -. Asatryan, kötü niyetli herkesin bir uzantıyı ne kadar kolay yayınlayabileceği göz önüne alındığında, istatistiğin özellikle endişe verici olduğunu söylüyor. Daha da kötüsü, bazı durumlarda kuruluşların kullandığı tarayıcı uzantılarının resmi bir pazar yeri dışından alınmış olmasıdır.
Asatryan, “Şirketler ayrıca bazen dahili kullanım için kendi uzantılarını oluşturur ve bunları yükler” diyor. “Ancak, bu kaynaklardan gelen uzantılar, resmi mağazalarda bulunanlarla aynı düzeyde inceleme ve güvenlik kontrollerinden geçmeyebileceğinden, bu ek risk oluşturabilir.”
Spin, tarayıcıların başlangıçtan itibaren kötü olabileceğini veya bazen otomatik güncellemeler yoluyla kötü niyetli nitelikler kazanabileceğini buldu. Bu, bir saldırgan bir kuruluşun tedarik zincirine sızdığında ve meşru bir güncellemeye kötü amaçlı kod eklediğinde meydana gelebilir. Geliştiriciler, uzantılarını daha sonra onu kötü amaçlı yeteneklerle güncelleyebilecek olan diğer üçüncü taraflara da satabilir.
Kuruluşların göz önünde bulundurması gereken bir başka faktör de, bir tarayıcı uzantısının beklenmedik şekillerde davranmak için izinlerini nasıl kullanabileceğidir. Asatryan, “Örneğin, bir uzantı ‘kimlik’ izni alabilir ve ardından bu bilgiyi bir üçüncü tarafa göndermek için ‘webrequest’ iznini kullanabilir” diyor.
Kuruluşların üçüncü taraf risk yönetimi çerçevelerine dayalı politikalar oluşturması ve uygulaması önemlidir, diye belirtiyor. Uzantıları ve uygulamaları operasyonel, güvenlik, gizlilik ve uyumluluk riskleri açısından değerlendirmeleri ve kuruluş politikalarına dayalı olarak uzantılara izin veren veya bunları engelleyen otomatik kontroller uygulamayı düşünmeleri gerekir.
Asatryan, “Kuruluşların tarayıcı uzantılarını yüklemeden önce, uzantı tarafından talep edilen izinlerin kapsamı, geliştiricinin itibarı ve güvenlik veya uyumluluk denetimlerinin ifşası gibi faktörleri göz önünde bulundurarak değerlendirmelerini öneririz” diyor. Düzenli güncellemeler ve bakım, kullanıcı incelemeleri ve derecelendirmeleri ve herhangi bir veri ihlali veya güvenlik olayı geçmişi kadar önemlidir.