(SeaPRwire) – 新加坡,2024 年 10 月 3 日 —
在 DEF CON 32 上,研究團隊發表了一個震撼人心的演講,名為「狡猾的擴展:MV3 逃脫大師」,他們分享了他們關於惡意瀏覽器擴展如何繞過 Google 最新用於構建 Chrome 擴展的標準:Manifest V3 (MV3) 安全功能的發現,讓數百萬用戶和企業面臨風險。
SquareX 的研究團隊公開展示了基於 MV3 的惡意擴展。主要發現包括:
- 擴展可以竊取實時視頻流,例如來自 Google Meet 和 Zoom Web 的流,而無需特殊權限。
- 惡意擴展可以代表用戶向私人的 GitHub 倉庫添加協作者。
- 這些擴展能夠掛鉤到登錄事件,將用戶重定向到偽裝成密碼管理器登錄頁面的頁面。
- 基於 MV3 的擴展可以輕鬆地竊取網站 Cookie、瀏覽歷史記錄、書籤和下載歷史記錄,就像他們的 MV2 對應程序一樣。
- 惡意擴展可以將彈出窗口添加到活動網頁,例如虛假的軟件更新提示,誘騙用戶下載惡意軟件。
瀏覽器擴展長期以來一直是惡意行為者的目標——斯坦福大學估計,近年來已安裝了 2.8 億個惡意 Chrome 擴展。Google 一直在努力解決這個問題,通常依賴獨立研究人員來識別惡意擴展。在某些情況下,Google 必須手動刪除它們,例如去年 6 月 。在它們被刪除之前,這些擴展已經被安裝了 7500 萬次。
大多數這些問題的產生是因為 Chrome 擴展標準 Manifest 版本 2 (MV2) 存在漏洞,這些漏洞授予擴展過多的權限,並允許在運行時注入腳本,而且通常沒有用戶的知情。這使得惡意行為者能夠輕鬆利用這些漏洞竊取數據、注入惡意軟件以及訪問敏感信息。MV3 旨在通過加強安全性、限制權限以及要求擴展事先聲明其腳本來解決這些問題。
然而,SquareX 的研究表明,MV3 在許多關鍵領域存在不足,表明攻擊者仍然能夠利用最小權限來執行惡意活動。即使在新的 MV3 框架下,個人用戶和企業也面臨著風險。
當今的安全解決方案,例如終端安全、SASE/SSE 和安全 Web 網關 (SWG),缺乏對已安裝的瀏覽器擴展的可見性。目前沒有成熟的工具或平台能夠動態地對這些擴展進行檢測,這使得企業無法準確評估擴展是安全的還是惡意的。
SquareX 致力於為企業提供最高級別的網絡安全保護,並建立了關鍵的創新功能來解決這個問題,這些功能包括;
- 精細的策略,用於決定允許/阻止哪些擴展,參數包括擴展權限、創建日期、最後更新時間、評論、評分、用戶數量、作者屬性等
- SquareX 基於策略、啟發式算法和機器學習洞察力,在運行時阻止擴展發送的網絡請求
- SquareX 也正在嘗試使用其雲服務器中修改後的 Chromium 瀏覽器對 Chrome 擴展進行動態分析
這些是 SquareX 解決方案的一部分,該方案正在中大型企業中部署,並且有效地阻止了這些攻擊。
, Founder & CEO of , 警告了日益嚴重的風險:「瀏覽器擴展是 EDR/XDR 的盲點,SWG 無法推斷它們的存在。這使得瀏覽器擴展成為了非常有效和強大的技術,可以靜默安裝並監控企業用戶,攻擊者正在利用它們來監控網絡通話中的通信,代表受害者向外部方授予權限,竊取 Cookie 和其他網站數據等等。」「我們的研究證明,如果沒有動態分析以及企業應用嚴格策略的能力,就不可能識別和阻止這些攻擊。Google MV3 雖然是好意,但距離在設計和實施階段強制執行安全性還有很長的路要走。」Vivek Ramachandran 說。
About SquareX
幫助組織實時檢測、減輕和威脅狩獵針對其用戶發生的客戶端 Web 攻擊。
SquareX 的業界首創瀏覽器檢測和響應 (BDR) 解決方案採用以攻擊為中心的瀏覽器安全方法,確保企業用戶免受高級威脅的侵害,例如惡意 QR 碼、瀏覽器中的瀏覽器釣魚、宏基於惡意軟件、惡意擴展和其他 Web 攻擊,包括惡意文件、網站、腳本和受感染的網絡。
借助 SquareX,企業還可以為承包商和遠程工作者提供對內部應用程序、企業 SaaS 的安全訪問,並將 BYOD/非託管設備上的瀏覽器轉換為可信瀏覽會話。
Contact
Head of PR
Junice Liew
SquareX
junice@sqrx.com
本文由第三方廠商內容提供者提供。SeaPRwire (https://www.seaprwire.com/)對此不作任何保證或陳述。
分類: 頭條新聞,日常新聞
SeaPRwire為公司和機構提供全球新聞稿發佈,覆蓋超過6,500個媒體庫、86,000名編輯和記者,以及350萬以上終端桌面和手機App。SeaPRwire支持英、日、德、韓、法、俄、印尼、馬來、越南、中文等多種語言新聞稿發佈。