Nel 2019, è stato rivelato che una rete di estensioni del browser, principalmente per Chrome, raccoglieva dati sensibili da ben quattro milioni di utenti. I dati ricavati includevano informazioni personali, cronologia di navigazione, informazioni mediche e altro ancora. I dati sono stati poi monetizzati attraverso uno schema di commercializzazione. Questa violazione divenne nota come Incidente DataSpiie ha fatto luce sulla misura in cui le estensioni dannose del browser potrebbero compromettere la privacy degli utenti e la sicurezza dei dati aziendali.

Negli ultimi anni il rischio di estensioni del browser dannose è aumentato in modo significativo. Le estensioni del browser dannose possono raccogliere dati sensibili, monitorare le attività online, inserire pubblicità indesiderate, deviare il traffico verso siti dannosi e persino assumere il controllo del browser di un utente. Ciò mette a repentaglio la privacy, la sicurezza e l'esperienza online complessiva degli utenti e delle organizzazioni. 

Tuttavia, il tradizionale stack di sicurezza degli endpoint e della rete è attualmente carente quando si tratta di rilevare e prevenire attività dannose eseguite tramite le estensioni del browser. In questo post del blog sveleremo come le estensioni dannose si infiltrano nei dispositivi e cosa possono fare le aziende fortificare le proprie reti.

Questo post del blog si basa sul rapporto “Unveiling the Threat of Malicious Browser Extensions”, che puoi leggere nella sua interezza qui.

Tipi di estensioni dannose

Le estensioni dannose rappresentano un rischio attivo o potenziale quando installate su un browser. Esistono tre tipi di estensioni dannose:

  • Estensione inizialmente dannosa – Un'estensione creata da un avversario da zero per uno scopo dannoso.
  • Estensione compromessa – Un'estensione inizialmente legittima divenuta di proprietà di un avversario dopo aver acquistato direttamente l'estensione o aver compromesso l'account sviluppatore dell'estensione .
  • Estensione rischiosa – Un'estensione legittima che dispone di autorizzazioni eccessive.

Come vengono installate le estensioni del browser

Esistono cinque metodi con cui un'estensione dannosa si insedia nel browser di una vittima:

  1. Admin – Estensioni distribuite centralmente dagli amministratori di rete all'interno dell'azienda. Si tratta di estensioni con esplicita approvazione organizzativa.
  2. Normale – Estensioni scaricate dagli store ufficiali dei browser. Gli utenti installano le estensioni visitando l'elenco di un'estensione nel Web Store del browser. 
  3. Mercato – Estensioni caricate dai computer locali dei dipendenti.
  4. sideload – Estensioni installate da applicazioni di terze parti, come Adobe o altri fornitori di software. 
  5. Aggiornamento software – Aggiornamento di un'estensione che è stata compromessa da un avversario dopo essere stata installata la prima volta e utilizzata per scopi legittimi.

Ampie autorizzazioni per le estensioni del browser

Le autorizzazioni delle estensioni del browser sono l'insieme di regole che determinano quali azioni un'estensione può eseguire all'interno del tuo browser. Le autorizzazioni vengono richieste e concesse quando gli utenti installano un'estensione e possono variare notevolmente a seconda della funzionalità prevista per l'estensione.

Le autorizzazioni sono solitamente la pietra angolare degli attacchi informatici basati sulle estensioni. Una volta installata l'estensione, le autorizzazioni possono essere utilizzate per eseguire operazioni dannose.

Le autorizzazioni rischiose includono:

  • Cookies
  • Debugger
  • webRichiesta
  • appunti
  • le impostazioni del contenuto
  • desktopCaptureֿ\pageCapture
  • Storia
  • Privacy
  • delega
  • schedaCattura
  • https://*/*

Per maggiori dettagli su come queste autorizzazioni consentono agli hacker di infiltrarsi nei dispositivi e accedere a dati sensibili, leggi l'intero rapporto.

Come attaccano le estensioni dannose del browser

Una volta installate e concesse le autorizzazioni, le estensioni possono continuare a infiltrarsi nei sistemi dell'organizzazione. L'attacco completo comprende i seguenti passaggi:

  1. L'aggressore crea l'estensione o ne acquista una esistente e vi aggiunge codice dannoso.
  2. L'estensione viene caricata su un negozio web o sul server dell'avversario.
  3. Gli utenti vengono indotti a installare l'estensione tramite ingegneria sociale o effettuando il sideload dell'estensione in background.
  4. Una volta installata, l'estensione richiede una serie di autorizzazioni, come l'accesso alla cronologia di navigazione, ai dati personali e altro ancora.
  5. Con le autorizzazioni concesse, l'avversario può iniziare a eseguire le sue attività dannose tramite l'estensione. Ad esempio, prendendo password, cookie e certificati archiviati nel browser.
  6. Gli avversari possono confondersi con il traffico esistente comunicando utilizzando i protocolli del livello di applicazione OSI.
  7. Gli avversari possono esfiltrare i dati catturati o estratti dall'estensione attraverso vari canali. Spesso preferiscono utilizzare protocolli web standard a causa della comune mancanza di controllo del traffico in uscita da parte di firewall/proxy.
  8. Esistono numerosi modi in cui un attacco dannoso basato su estensioni può causare danni, a seconda delle intenzioni dell'autore della minaccia. Questi includono:
  • Accesso dannoso alle risorse dell'organizzazione utilizzando le credenziali raccolte. 
  • Aumentare l'esposizione delle organizzazioni agli attacchi vendendo dati compromessi sul dark web.
  • Attacchi di phishing mirati basati sui dati raccolti dagli utenti. 
  • Consumare potenza del computer per il mining di criptovalute.
  • Iniezione di adware e malvertising per reindirizzare gli utenti a siti Web dannosi.

Mitigazione: cosa puoi fare?

Chrome non disinstalla automaticamente le estensioni non pubblicate dagli sviluppatori o rimosse dallo store, anche se contrassegnate come malware. È invece responsabilità degli utenti rimuovere l'estensione. Ciò rende ancora più importante implementare controlli e pratiche di sicurezza avanzati per proteggere in primo luogo il browser da estensioni dannose.

Le migliori pratiche includono:

    1. Scarica da fonti attendibili: Installa solo estensioni provenienti da store ufficiali di estensioni del browser, come Chrome Web Store per Google Chrome o il sito dei componenti aggiuntivi di Firefox per Mozilla Firefox.
    2. Scopri quando è stato aggiornato l'ultima volta l'estensione: Gli aggiornamenti regolari sono spesso un indicatore di uno sviluppatore responsabile che affronta le vulnerabilità e garantisce la compatibilità con le ultime versioni del browser. Le estensioni obsolete potrebbero essere prive di patch di sicurezza critiche e potrebbero comportare un rischio maggiore di sfruttamento.
    3. Esamina la sezione sulle pratiche sulla privacy e il sito Web dell'estensione: Le estensioni legittime in genere forniscono politiche sulla privacy chiare e concise che descrivono in dettaglio come i dati dell'utente vengono raccolti, utilizzati e protetti. Qualsiasi mancanza di tali informazioni o politiche vaghe può essere un segnale di allarme, suggerendo un potenziale uso improprio dei dati degli utenti.
    4. Ricerca l'estensione: Le estensioni con un numero elevato di download totali, recensioni positive e valutazioni elevate hanno maggiori probabilità di essere legittime e sicure da utilizzare. Fai attenzione alle estensioni con un coinvolgimento minimo degli utenti, poche recensioni o valutazioni basse, poiché la loro affidabilità potrebbe essere discutibile.
    5. Controlla le autorizzazioni: fai attenzione se un'estensione richiede autorizzazioni non necessarie o eccessive che sembrano non correlate alla sua funzionalità.
    6. Usa il software di sicurezza: installa un software antivirus e antimalware affidabile che possa aiutare a rilevare e prevenire estensioni dannose.
    7. Sii scettico: se l'offerta di un'estensione sembra troppo bella per essere vera o afferma di offrire contenuti illegali gratuitamente, è probabile che sia dannosa.
    8. Esamina regolarmente le estensioni: controlla le estensioni installate e rimuovi quelle che non usi più o che sospetti possano essere dannose.
    9. Utilizza una piattaforma di sicurezza del browser: Una piattaforma di sicurezza del browser come layerX eseguirà la scansione dei browser del tuo personale per scoprire le estensioni dannose installate che dovrebbero essere rimosse. Inoltre, analizzerà il comportamento delle estensioni del browser esistenti per impedire loro di accedere ai dati sensibili del browser. Infine, la piattaforma impedirà agli hacker di accedere all'ampia gamma di dati sulle credenziali archiviati nel tuo browser, per impedire il bypass dell'MFA e il potenziale furto dell'account.

Per ulteriori dettagli su ciascuna strategia di mitigazione, leggi l'intero rapporto.

I tuoi prossimi passi

Le estensioni dannose rappresentano una crescente preoccupazione per le organizzazioni, a causa del loro utilizzo diffuso nonostante le limitate capacità di monitoraggio. Le estensioni dannose del browser possono raccogliere dati sensibili e consentire agli avversari di infiltrarsi nelle organizzazioni, mettendo a rischio l'intera organizzazione.

Praticando la diligenza e impiegando pratiche di sicurezza avanzate, l’organizzazione può proteggersi da questo popolare vettore di attacco. Da provare layerX, la piattaforma di sicurezza del browser che va oltre lo stack esistente ed è in grado di identificare e bloccare l'attività delle estensioni dannose, clicca qui.