2019 年,一个主要针对 Chrome 的浏览器扩展网络被揭露正在窃取多达 XNUMX 万用户的敏感数据。抓取的数据包括 PII、浏览历史记录、医疗信息等。然后,这些数据通过商业化计划货币化。这次违规行为被称为 DataSpii事件,它揭示了恶意浏览器扩展可能在多大程度上损害用户隐私和企业数据安全。

在过去几年中,恶意浏览器扩展的风险显着增加。恶意浏览器扩展可以收集敏感数据、监控在线活动、注入不需要的广告、将流量转移到恶意网站,甚至控制用户的浏览器。这会危及用户和组织的隐私、安全和整体在线体验。 

然而,在检测和防止通过浏览器扩展执行的恶意活动方面,传统的端点和网络安全堆栈目前缺乏。在这篇博文中,我们将揭示恶意扩展如何渗透设备以及公司可以采取哪些措施 强化他们的网络。

这篇博文基于报告“揭开恶意浏览器扩展的威胁”,您可以阅读该报告的全文 相关信息.

恶意扩展的类型

恶意扩展程序安装在浏览器上时会造成主动或潜在风险。恶意扩展分为三种类型:

  • 最初是恶意扩展 – 对手出于恶意目的从头开始创建的扩展。
  • 受损的扩展 – 最初合法的扩展,在直接购买扩展或损害扩展的开发者帐户后被对手拥有。
  • 有风险的扩展 – 具有过多权限的合法扩展。

如何安装浏览器扩展

恶意扩展程序可以通过五种方法在受害者的浏览器上驻留:

  1. 行政专员 – 扩展由公司内的网络管理员集中分发。这些都是经过组织明确批准的扩展。
  2. 正常 – 从官方浏览器商店下载的扩展。用户通过访问浏览器网上应用店中的扩展程序列表来安装扩展程序。 
  3. 研发支持 – 从员工本地计算机加载的扩展。
  4. 侧面插入 – 由第三方应用程序安装的扩展,例如 Adob​​e 或其他软件提供商。 
  5. – 更新首次安装并用于合法目的后被对手破坏的扩展。

广泛的浏览器扩展权限

浏览器扩展程序权限是一组规则,规定允许扩展程序在浏览器中执行哪些操作。用户安装扩展时会请求和授予权限,并且根据扩展的预期功能,权限可能会有很大差异。

权限通常是基于扩展的网络攻击的基石。一旦安装了该扩展程序,就可以利用该权限进行恶意操作。

有风险的权限包括:

  • Cookies
  • 调试
  • 网络请求
  • 剪贴板
  • 内容设置
  • 桌面捕获 ֿ\pageCapture
  • 历史进程
  • 隐私政策
  • 代理
  • 标签捕获
  • https://*/*

有关这些权限如何使攻击者能够渗透设备并访问敏感数据的更多详细信息, 阅读整个报告.

恶意浏览器扩展如何攻击

一旦安装并授予权限,扩展程序就可以继续渗透组织的系统。完整的攻击包括以下步骤:

  1. 攻击者创建扩展程序或购买现有扩展程序并向其添加恶意代码。
  2. 该扩展程序被上传到网上商店或对手的服务器。
  3. 用户被引诱通过社会工程或在后台旁加载扩展来安装扩展。
  4. 安装后,该扩展程序会请求一系列权限,例如访问浏览历史记录、个人数据等。
  5. 授予权限后,攻击者可以开始通过扩展执行其恶意活动。例如,获取浏览器中存储的密码、cookie 和证书。
  6. 攻击者可以通过使用 OSI 应用层协议进行通信来混入现有流量。
  7. 攻击者可以通过各种渠道窃取扩展程序捕获或提取的数据。由于防火墙/代理普遍缺乏出站流量检查,他们通常更喜欢使用标准 Web 协议。
  8. 基于恶意扩展的攻击可以通过多种方式造成损害,具体取决于发起威胁者的意图。这些包括:
  • 使用获取的凭据恶意访问组织资源。 
  • 通过在暗网上出售受损数据来增加组织遭受攻击的风险。
  • 基于用户收集的数据进行有针对性的网络钓鱼攻击。 
  • 消耗计算机功率进行加密挖掘。
  • 注入广告软件和恶意广告以将用户重定向到恶意网站。

缓解措施:你能做什么?

Chrome 不会自动卸载开发者未发布的扩展程序或从商店中删除的扩展程序,即使它们被标记为恶意软件也是如此。相反,用户有责任删除扩展。这使得实施高级安全控制和实践以首先保护浏览器免受恶意扩展的侵害变得更加重要。

最佳实践包括:

    1. 从可信来源下载: 仅安装来自官方浏览器扩展商店的扩展,例如适用于 Google Chrome 的 Chrome Web Store 或适用于 Mozilla Firefox 的 Firefox Add-ons 网站。
    2. 查看扩展的上次更新时间:定期更新通常表明开发人员是负责任的,他们解决了漏洞并确保与最新浏览器版本的兼容性。过时的扩展可能缺乏关键的安全补丁,并且可能会带来更大的被利用风险。
    3. 查看隐私实践部分和扩展网站: 合法的扩展通常提供清晰简洁的隐私政策,详细说明如何收集、使用和保护用户数据。任何缺乏此类信息或模糊政策的行为都可能是危险信号,表明用户数据可能被滥用。
    4. 研究扩展: 总下载量高、好评和评级高的扩展程序更有可能是合法且安全使用的。请谨慎对待用户参与度最低、评论很少或评级较低的扩展程序,因为它们的可靠性可能值得怀疑。
    5. 检查权限:如果扩展程序请求看似与其功能无关的不必要或过多的权限,请务必小心。
    6. 使用安全软件:安装信誉良好的防病毒和反恶意软件软件,以帮助检测和防止恶意扩展。
    7. 持怀疑态度:如果扩展程序的优惠看起来好得令人难以置信,或者声称免费提供非法内容,则它可能是恶意的。
    8. 定期审查扩展:检查您已安装的扩展程序,并删除您不再使用的或您怀疑可能是恶意的扩展程序。
    9. 使用浏览器安全平台: 浏览器安全平台,例如 LayerX 将扫描您员工的浏览器以发现应删除的已安装恶意扩展。此外,它将分析现有浏览器扩展的行为,以防止它们访问敏感的浏览器数据。最后,该平台将阻止对手访问浏览器中存储的各种凭据数据,以防止 MFA 绕过和潜在的帐户接管

有关每个缓解策略的更多详细信息, 阅读整个报告.

下一步

恶意扩展越来越受到组织的关注,因为它们的广泛使用尽管监控能力有限。恶意浏览器扩展可以获取敏感数据并使攻击者能够渗透到组织中,从而使整个组织面临风险。

通过勤奋实践并采用先进的安全实践,组织可以保护自己免受这种流行的攻击媒介的侵害。尝试 LayerX,超越现有堆栈的浏览器安全平台,可以识别和阻止恶意扩展的活动, 点击此处.