Folje kryesore
- Shumica e shtesave në Dyqanin e Uebit të Chrome kërkojnë leje të rrezikshme që mund të keqpërdoren për qëllime keqdashëse.
- Të gjithë shfletuesit e internetit po përpiqen të trajtojnë problemin e shtesave të padrejta.
- Manifesti V3 i Google është një zgjidhje e tillë që trajton disa çështje, por bën pak për të sunduar në lejet e disponueshme për shtesat.
E mbani mend atë shtesën e shfletuesit që kontrollon drejtshkrimin që kërkonte leje për të lexuar dhe analizuar gjithçka që shkruani? Ekspertët e sigurisë kibernetike paralajmërojnë se ka një shans të lartë që disa shtesa të keqpërdorin pëlqimin tuaj për të vjedhur fjalëkalimet që futni në shfletuesin e internetit.
Për t'i ndihmuar përdoruesit të vlerësojnë rreziqet e shtesave të uebit, kompania e sigurisë dixhitale Talon ka analizuar Dyqanin e Ueb-it të Chrome për të raportuar se dhjetëra mijëra shtesa kanë akses në lejet shqetësuese, të tilla si aftësia për të ndryshuar të dhënat në të gjitha sajtet e vizituara, shkarkoni skedarë, përdorni aktivitetin e shkarkimit dhe më shumë.
"Shumë shtesa të njohura i vënë përdoruesit në rrezik," shpjegoi bashkëthemeluesi dhe CTO i Talon Cyber Security Ohad Bobrov për Lifewire përmes emailit. "[Edhe] zgjerimet beninje mund të kenë dobësi në kodin e tyre ose zinxhirin e furnizimit dhe mund të jenë të ndjeshme ndaj marrjes nga aktorë keqdashës."
Zgjerime të paparashikuara
Talon argumenton se shtesat ofrojnë vlerë të madhe për përdoruesit e tyre dhe sjellin një mori funksionesh të dobishme në shfletuesit e uebit, si bllokimi i reklamave, kontrolli drejtshkrimor, menaxhimi i fjalëkalimit dhe më shumë. Megjithatë, për të sjellë këto funksione, shtesat kërkojnë leje të gjera për të modifikuar shfletuesin, sjelljen e tij dhe faqet e internetit të vizituara.
"Natyrisht, ky nivel kontrolli dhe aksesi nga aktorë të palëve të treta mund të përbëjë kërcënime të rëndësishme të sigurisë dhe privatësisë për përdoruesit," shpjegoi Talon.
Kompania shton se pavarësisht procesit të verifikimit të Google, shumë shtesa me qëllim të keq arrijnë të kalojnë nëpër boshllëqe dhe përfundojnë duke ndikuar negativisht në miliona përdorues. Analiza e tij zbuloi se mbi 60% e të gjitha shtesave në Dyqanin e Uebit të Chrome kanë leje për të lexuar ose ndryshuar të dhënat dhe aktivitetin e përdoruesit.
Për shembull, Talon thotë se kontrolluesit e drejtshkrimit dhe gramatikës kërkojnë leje për të injektuar skriptet që dalin nga konteksti i faqes së internetit për të analizuar tekstin e përdoruesit. Ata e bëjnë këtë zakonisht duke inspektuar fushat e hyrjes ose duke regjistruar butonat e përdoruesit me mjete të tjera. Kompania thotë se kjo në mënyrë efektive i lejon shtesat të mbledhin dhe të nxjerrin çdo informacion në faqen e internetit, duke përfshirë fjalëkalimet dhe të dhënat e tjera të ndjeshme.
Pastaj ka bllokimin e reklamave, i cili përbën disa nga shtesat kryesore të Dyqanit të Ueb-it të Chrome. Ky funksion përfshin heqjen e elementeve nga faqja dhe kërkon të njëjtat leje si kontrolluesit e drejtshkrimit.
Nuk dihet se cilat të dhëna janë ekfiltruar, por mund të ketë vjedhur diçka nga çdo faqe, duke përfshirë fjalëkalimet.
Në mënyrë të ngjashme, lejet e dhëna për ndarjen e ekranit dhe shtesat e video-konferencave për të kryer detyrën e synuar, mund të keqpërdoren gjithashtu për të kapur ekranin dhe audion e përdoruesit.
"Dy dobësi u gjetën në uBlock Origin në muajt e fundit, të cilat i lejuan sulmuesit të shfrytëzonin lejen e shtesës për të lexuar dhe ndryshuar të dhënat në të gjitha sajtet dhe për të vjedhur informacione të ndjeshme të përdoruesit," na tha Bobrov.
"Bllokuesit e reklamave si uBlock Origin janë jashtëzakonisht të popullarizuar dhe zakonisht kanë qasje në çdo faqe që viziton një përdorues. Në prapaskenë, ato mundësohen nga listat e filtrave të ofruara nga komuniteti - përzgjedhësit CSS që diktojnë se cilët elementë të bllokohen. Këto listat nuk janë plotësisht të besueshme, kështu që ato janë të kufizuara për të parandaluar vjedhjen e të dhënave të përdoruesve nga rregullat keqdashëse, "shkroi studiuesi i sigurisë Gareth Heyes teksa demonstroi përdorimin e dobësive në shtesë për të vjedhur fjalëkalimet.
Bobrov ndau gjithashtu se në vitin 2019 zgjerimi popullor The Great Suspender, i cili kishte mbi dy milionë përdorues, u ble nga një aktor keqdashës, i cili vazhdoi të shfrytëzonte lejet e tij për të injektuar skriptet për të ekzekutuar kodin e pashqyrtuar dhe të strehuar nga distanca. në faqet e internetit.
"Nuk dihet se çfarë të dhënash u ekfiltruan," tha ai, "por mund të kishte vjedhur diçka nga çdo faqe, duke përfshirë fjalëkalimet."
Asnjë zgjidhje reale
Bobrov thotë se Chrome dhe pothuajse të gjithë shfletuesit e tjerë kryesorë të uebit po punojnë për të frenuar rrezikun e sigurisë që vjen nga shtesat, jo vetëm duke përmirësuar procesin e tyre të verifikimit, por edhe duke kufizuar disa nga aftësitë e shtesave.
Një hap i tillë i fundit që Bobrov thekson është Manifest V3 i Google. Ai thotë se për përdoruesin mesatar, ndryshimi më i dukshëm që do të sillte Manifest V3 te shtesat është një ndalim i plotë i kodit të pritur në distancë dhe një ndryshim në mënyrën se si shtesat modifikojnë kërkesat në ueb. Megjithatë, ai shton se nga ana negative, Manifest V3 është kritikuar për pengimin e rëndë të bllokuesve të reklamave.
"Tendencat më të rëndësishme janë mbyllja e boshllëqeve të sigurisë, rritja e dukshmërisë dhe kontrollit të përdoruesit fundor (p.sh., cilat sajte lejojnë ekzekutimin e shtesave) dhe ndalimi i kodit të pakontrollueshëm nga shtesat," tha Bobrov. "Disa nga këto ndryshime përfshihen në Manifestin V3 të Google. Megjithatë, asnjë nga këto ndryshime nuk i ndryshon në mënyrë dramatike lejet e disponueshme për shtesat."