I 2019 blev et netværk af browserudvidelser, primært til Chrome, afsløret for at have skrabet følsomme data fra så mange som fire millioner brugere. De skrabede data inkluderede PII, browserhistorik, medicinske oplysninger og mere. Dataene blev derefter monetiseret gennem en kommercialiseringsordning. Dette brud blev kendt som DataSpii hændelse, og det kastede lys over, i hvilket omfang ondsindede browserudvidelser kunne kompromittere brugernes privatliv og virksomhedens datasikkerhed.

I de seneste år er risikoen for ondsindede browserudvidelser vokset markant. Ondsindede browserudvidelser kan indsamle følsomme data, overvåge onlineaktiviteter, injicere uønskede reklamer, omdirigere trafik til ondsindede websteder og endda tage kontrol over en brugers browser. Dette bringer brugernes og organisationernes privatliv, sikkerhed og overordnede onlineoplevelse i fare. 

Den traditionelle slutpunkts- og netværkssikkerhedsstak mangler dog i øjeblikket, når det kommer til at opdage og forhindre ondsindede aktiviteter udført gennem browserudvidelser. I dette blogindlæg vil vi afsløre, hvordan ondsindede udvidelser infiltrerer enheder, og hvad virksomheder kan gøre for at styrke deres netværk.

Dette blogindlæg er baseret på rapporten “Unveiling the Threat of Malicious Browser Extensions”, som du kan læse i sin helhed link..

Typer af ondsindede udvidelser

Ondsindede udvidelser udgør enten en aktiv eller potentiel risiko, når de installeres i en browser. Der er tre typer ondsindede udvidelser:

  • Oprindeligt ondsindet udvidelse – En udvidelse, der blev oprettet af en modstander fra bunden med et ondsindet formål.
  • Kompromitteret forlængelse – En oprindeligt lovlig udvidelse, der blev ejet af en modstander efter at have købt udvidelsen direkte eller kompromitteret udvidelsens udviklerkonto .
  • Risikabel forlængelse – En legitim udvidelse, der har for mange tilladelser.

Sådan installeres browserudvidelser

Der er fem metoder, hvorpå en ondsindet udvidelse får ophold i et offers browser:

  1. Admin – Udvidelser distribueret centralt af netværksadministratorer i virksomheden. Disse er udvidelser med eksplicit organisatorisk godkendelse.
  2. Normal – Udvidelser downloadet fra officielle browserbutikker. Brugere installerer udvidelser ved at besøge en udvidelses liste i browserens webshop. 
  3. Udvikling – Udvidelser indlæst fra medarbejdernes lokale computere.
  4. sideloade – Udvidelser installeret af tredjepartsapplikationer, såsom Adobe eller andre softwareudbydere. 
  5. softwareopdatering – Opdatering af en udvidelse, der blev kompromitteret af en modstander, efter at den blev installeret første gang og brugt til legitime formål.

Omfattende browserudvidelsestilladelser

Browserudvidelsestilladelser er det sæt regler, der dikterer, hvilke handlinger en udvidelse må udføre i din browser. Tilladelser anmodes om og gives, når brugere installerer en udvidelse, og de kan variere meget afhængigt af udvidelsens tilsigtede funktionalitet.

Tilladelser er normalt hjørnestenen i udvidelsesbaserede cyberangreb. Når udvidelsen er installeret, kan tilladelserne bruges til at udføre ondsindede handlinger.

Risikofyldte tilladelser inkluderer:

  • Cookies
  • Debugger
  • webRequest
  • Udklipsholder
  • indholdsindstillinger
  • desktopCapture-\pageCapture
  • Historie
  • Privatliv
  • proxy
  • tabCapture
  • https://*/*

For flere detaljer om, hvordan disse tilladelser gør det muligt for modstandere at infiltrere enheder og få adgang til følsomme data, læs hele rapporten.

Hvordan ondsindede browserudvidelser angriber

Når de er installeret og givet tilladelser, kan udvidelserne fortsætte med at infiltrere organisationens systemer. Det komplette angreb inkluderer følgende trin:

  1. Modstanderen opretter udvidelsen eller køber en eksisterende og tilføjer ondsindet kode til den.
  2. Udvidelsen uploades til en webbutik eller til modstanderens server.
  3. Brugere lokkes til at installere udvidelsen gennem social engineering eller ved at sideloade udvidelsen i baggrunden.
  4. Når den er installeret, anmoder udvidelsen om en række tilladelser, såsom adgang til browserhistorikken, personlige data og mere.
  5. Med tilladelser givet, kan modstanderen begynde at udføre sine ondsindede aktiviteter gennem udvidelsen. For eksempel at tage adgangskoder, cookies og certifikater, der er gemt i browseren.
  6. Modstandere kan blande sig med eksisterende trafik ved at kommunikere ved hjælp af OSI-applikationslagsprotokollerne.
  7. Modstandere kan eksfiltrere de data, der er fanget eller udtrukket af udvidelsen af ​​forskellige kanaler. De foretrækker ofte at bruge standard webprotokoller på grund af den almindelige mangel på udgående trafikinspektion af firewalls/proxyer.
  8. Der er adskillige måder, hvorpå et ondsindet udvidelsesbaseret angreb kan forårsage skade, afhængigt af intentionerne hos dens initierende trusselsaktør. Disse omfatter:
  • Ondsindet adgang til organisatoriske ressourcer ved hjælp af de indsamlede legitimationsoplysninger. 
  • Øge organisationers eksponering for angreb ved at sælge kompromitterede data på det mørke web.
  • Målrettede phishing-angreb baseret på brugernes indsamlede data. 
  • Forbruger computerkraft til kryptomining.
  • Injektion af adware og malvertising for at omdirigere brugere til ondsindede websteder.

Afbødning: Hvad kan du gøre?

Chrome afinstallerer ikke automatisk udvidelser, der blev fjernet af deres udviklere, eller som blev fjernet fra butikken, heller ikke selvom de er markeret som malware. I stedet er det brugernes ansvar at fjerne udvidelsen. Dette gør det så meget desto vigtigere at implementere avancerede sikkerhedskontroller og -praksis for at beskytte browseren mod ondsindede udvidelser i første omgang.

Bedste praksis omfatter:

    1. Download fra betroede kilder: Installer kun udvidelser fra officielle browserudvidelsesbutikker, såsom Chrome Web Store til Google Chrome eller Firefox-tilføjelseswebstedet til Mozilla Firefox.
    2. Se, hvornår udvidelsen sidst blev opdateret: Regelmæssige opdateringer er ofte en indikator for en ansvarlig udvikler, der adresserer sårbarheder og sikrer kompatibilitet med de nyeste browserversioner. Forældede udvidelser kan mangle kritiske sikkerhedsrettelser og kan udgøre en større risiko for udnyttelse.
    3. Gennemgå afsnittet om privatlivspraksis og udvidelsens websted: Legitime udvidelser giver typisk klare og præcise privatlivspolitikker, der beskriver, hvordan brugerdata indsamles, bruges og beskyttes. Enhver mangel på sådanne oplysninger eller vage politikker kan være røde flag, hvilket tyder på potentielt misbrug af brugerdata.
    4. Undersøg udvidelsen: Udvidelser med et højt antal samlede downloads, positive anmeldelser og høje vurderinger er mere tilbøjelige til at være legitime og sikre at bruge. Vær forsigtig med udvidelser med minimalt brugerengagement, få anmeldelser eller lave vurderinger, da deres pålidelighed kan være tvivlsom.
    5. Kontroller tilladelser: Vær på vagt, hvis en udvidelse anmoder om unødvendige eller overdrevne tilladelser, der ikke ser ud til at være relateret til dens funktionalitet.
    6. Brug sikkerhedssoftware: Installer velrenommeret antivirus- og anti-malware-software, der kan hjælpe med at opdage og forhindre ondsindede udvidelser.
    7. Vær skeptisk: Hvis en udvidelses tilbud virker for godt til at være sandt eller hævder at tilbyde ulovligt indhold gratis, er det sandsynligvis ondsindet.
    8. Gennemgå jævnligt udvidelser: Gennemgå de udvidelser, du har installeret, og fjern alle, som du ikke længere bruger, eller som du har mistanke om kan være skadelige.
    9. Brug en browsersikkerhedsplatform: En browsersikkerhedsplatform som LayerX vil scanne din arbejdsstyrkes browsere for at opdage installerede ondsindede udvidelser, der bør fjernes. Derudover vil den analysere adfærden af ​​eksisterende browserudvidelser for at forhindre dem i at få adgang til følsomme browserdata. Endelig vil platformen blokere modstandere fra at få adgang til den brede vifte af legitimationsdata, der er gemt i din browser, for at forhindre MFA-omgåelse og potentiel kontoovertagelse

For flere detaljer om hver afbødningsstrategi, læs hele rapporten.

Dine næste trin

Ondsindede udvidelser er en voksende bekymring for organisationer på grund af deres udbredte brug om end begrænsede overvågningsmuligheder. Ondsindede browserudvidelser kan høste følsomme data og gøre det muligt for modstandere at infiltrere organisationer, hvilket bringer hele organisationen i fare.

Ved at øve flid og anvende avanceret sikkerhedspraksis kan organisationen beskytte sig selv mod denne populære angrebsvektor. At prøve LayerX, browsersikkerhedsplatformen, der går ud over den eksisterende stak og kan identificere og blokere ondsindede udvidelsers aktivitet, Klik her.