افزونه‌های Google Chrome همچنان یک خطر امنیتی هستند زیرا Manifest V3 از سرقت داده‌ها و سوء استفاده از بدافزار جلوگیری نمی‌کند.

افزونه‌های Google Chrome همچنان یک خطر امنیتی هستند زیرا Manifest V3 از سرقت داده‌ها و سوء استفاده از بدافزار جلوگیری نمی‌کند.

شناسهٔ خبر: 812002 - تاریخ: نوامبر 10, 2024

مهدی نوروزی

(اعتبار تصویر: Monticello / Shutterstock)

تحقیقات نشان می دهد که Manifest V3 ممکن است از مشکلات امنیتی رنج ببرد

مانیفست Chromium ارتقا یافته همچنان به برنامه‌های گفت نی مخرب اجازه می‌دهد

برخی از ابزارهای امنیتی برای شناسایی پسوندهای خطرناک تلاش می کنند

افزونه‌های مرورگر مدت‌هاست که ابزاری مناسب برای کاربران بوده و بهره‌وری را افزایش داده و وظایف را ساده‌تر می‌کند. با این حال، آنها همچنین تبدیل به یک هدف اصلی برای بازیگران مخربی شده اند که به دنبال سوء استفاده از آسیب پذیری ها هستند و هم کاربران و هم شرکت ها را هدف قرار می دهند.

علیرغم تلاش‌ها برای افزایش امنیت، بسیاری از این برنامه‌های گفت نی راه‌هایی برای سوءاستفاده از حفره‌های موجود در آخرین چارچوب برنامه گفت نی Google ، Manifest V3 (MV3) پیدا کرده‌اند.

تحقیقات اخیر SquareX نشان داده است که چگونه این افزونه‌های سرکش همچنان می‌توانند اقدامات امنیتی کلیدی را دور بزنند و میلیون‌ها کاربر را در معرض خطراتی مانند سرقت داده‌ها، بدافزارها و دسترسی غیرمجاز به اطلاعات حساس قرار دهند.

افزونه های مرورگر اکنون تهدیدهای بزرگ تری هستند

گوگل همیشه با مشکلات افزونه ها در کروم دست و پنجه نرم کرده است. در ژوئن 2023، این شرکت مجبور شد 32 افزونه قابل بهره برداری را که 72 میلیون بار قبل از حذف آنها نصب شده بودند، به صورت دستی حذف کند .

فریم ورک افزونه قبلی گوگل، Manifest Version 2 (MV2) بسیار مشکل ساز بود. اغلب مجوزهای بیش از حد به برنامه‌های گفت نی اعطا می‌کرد و اجازه می‌داد تا اسکریپت‌ها بدون آگاهی کاربر تزریق شوند، و این امر به مهاجمان برای سرقت داده‌ها، دسترسی به اطلاعات حساس و معرفی بدافزار آسان‌تر می‌شود.

در پاسخ، گوگل Manifest V3 را معرفی کرد که هدف آن تشدید امنیت با محدود کردن مجوزها و الزام برنامه‌های گفت نی برای اعلام اسکریپت‌های خود از قبل بود. در حالی که انتظار می‌رفت MV3 آسیب‌پذیری‌های موجود در MV2 را برطرف کند، تحقیقات SquareX نشان می‌دهد که در مناطق بحرانی کوتاهی می‌کند.

برنامه‌های گفت نی مخرب ساخته شده بر روی MV3 همچنان می‌توانند آپشن های امنیتی را دور بزنند و بدون نیاز به مجوزهای ویژه، جریان‌های ویدیوی زنده را از پلتفرم‌های مشارکتی مانند Google Meet و Zoom Web بدزدند. آنها همچنین می توانند همکاران غیرمجاز را به مخازن خصوصی GitHub اضافه کنند و حتی کاربران را به صفحات فیشینگ که به عنوان مدیران رمز عبور پنهان شده اند هدایت کنند.

علاوه بر این، این افزونه‌های مخرب می‌توانند به تاریخچه مرور، کوکی‌ها، نشانک‌ها و تاریخچه دانلود دسترسی داشته باشند، به روشی مشابه با همتایان MV2 خود، با قرار دادن یک پاپ‌آپ به‌روزرسانی نرم‌افزار جعلی که کاربران را فریب می‌دهد تا بدافزار را دانلود کنند.

پس از نصب برنامه گفت نی مخرب، افراد و شرکت‌ها نمی‌توانند فعالیت‌های این افزونه‌ها را شناسایی کنند و آنها را در معرض دید قرار می‌دهند. راه‌حل‌های امنیتی مانند محافظت نقطه پایانی ، Secure Access Service Edge (SASE) و Secure Web Gateways (SWG) نمی‌توانند به صورت پویا برنامه‌های گفت نی مرورگر را برای خطرات احتمالی ارزیابی کنند.

برای مقابله با این چالش ها، SquareX چندین راه حل با هدف بهبود امنیت برنامه گفت نی مرورگر توسعه داده است. رویکرد آنها شامل خط‌مشی‌های تنظیم‌شده‌ای است که به مدیران اجازه می‌دهد بر اساس عواملی مانند مجوزهای برنامه‌های گفت نی، تاریخچه به‌روزرسانی، بررسی‌ها و رتبه‌بندی کاربران تصمیم بگیرند که کدام برنامه‌های گفت نی را مسدود یا اجازه دهند.

این راه‌حل می‌تواند درخواست‌های شبکه را که توسط برنامه‌های گفت نی در زمان واقعی انجام می‌شود، بر اساس خط‌مشی‌ها، بینش‌های یادگیری ماشین و تحلیل اکتشافی مسدود کند. علاوه بر این، SquareX با استفاده از یک مرورگر Chromium اصلاح شده در سرور ابری خود، تجزیه و تحلیل پویا افزونه‌های کروم را آزمایش می‌کند و بینش عمیق‌تری در مورد رفتار افزونه‌های بالقوه مضر ارائه می‌دهد.

Vivek Ramachandran، بنیانگذار و مدیر عامل SquareX، بيان کرد : «افزونه‌های مرورگر نقطه کوری برای EDR/XDR هستند و SWG‌ها راهی برای استنباط حضور آنها ندارند.

دیگر اخبار

فضانوردان Polaris Dawn در حالی که لباس‌های ساخت اسپیس‌ایکس به تن دارند، پیاده‌روی فضایی خصوصی تاریخی انجام می‌دهند

بیشتر بخوانید

توانایی هوش مصنوعی برای بهبود و سرعت بخشیدن به تست نرم افزار در حال تغییر شکل صنعت است

این باعث شده است افزونه‌های مرورگر به روشی بسیار مؤثر و قدرتمند برای نصب بی‌صدا و نظارت بر کاربران سازمانی تبدیل شوند، و مهاجمان از آنها برای نظارت بر ارتباطات از طریق تماس‌های وب، اقدام از طرف قربانی برای دادن مجوز به طرف‌های خارجی، سرقت کوکی‌ها و سایر سایت‌ها استفاده می‌کنند. داده ها و غیره.»

تحقیقات ما ثابت می‌کند که بدون تحلیل پویا و توانایی شرکت‌ها برای اعمال سیاست‌های سخت‌گیرانه، شناسایی و مسدود کردن این حملات امکان‌پذیر نخواهد بود. راماچاندران گفت : Google MV3، اگرچه به خوبی در نظر گرفته شده است، اما هنوز با اعمال امنیت در هر دو مرحله طراحی و پیاده سازی فاصله دارد.

شما هم ممکن است دوست داشته باشید

Efosa بیش از 7 سال است که در مورد فناوری می نویسد، در ابتدا با کنجکاوی هدایت می شود، اما اکنون با اشتیاق شدید به این زمینه تغذیه می شود. او دارای مدرک کارشناسی ارشد و دکتری در علوم است که پایه و اساس محکمی در تفکر تحلیلی برای او فراهم کرده است. Efosa علاقه شدیدی به خط مشی فناوری، به ویژه کاوش در تلاقی حریم خصوصی، امنیت و سیاست داشت. تحقیقات او به چگونگی تأثیر پیشرفت های فناوری بر چارچوب های نظارتی و هنجارهای اجتماعی، به ویژه در مورد حفاظت از داده ها و امنیت سایبری می پردازد. او پس از پیوستن به TechRadar Pro، علاوه بر سیاست حفظ حریم خصوصی و فناوری، بر روی محصولات امنیتی B2B نیز تمرکز کرده است.