Компрометация браузера является высокодоходной целью для злоумышленников. Расширения браузера, представляющие собой небольшие программные модули, которые добавляются в браузер и могут улучшить качество просмотра, стали популярным средством атаки на браузер. Это связано с тем, что они широко распространены среди пользователей и могут легко стать вредоносными в результате действий разработчиков или атак на законные расширения.
Недавние инциденты, такие как DataSpii и вредоносная атака Nigelthorn, показали степень ущерба, который могут нанести вредоносные расширения. В обоих случаях пользователи невинно устанавливали расширения, которые ставили под угрозу их конфиденциальность и безопасность. Основная проблема заключается в разрешениях, предоставляемых расширениями. Эти разрешения, часто чрезмерные и недостаточно детализированные, позволяют злоумышленникам использовать их.
Что могут сделать организации, чтобы защитить себя от рисков, связанных с расширениями браузера, не запрещая их использование полностью (действие, которое было бы практически невозможно обеспечить)?
Новый отчет layerX "Раскрытие угрозы вредоносных расширений браузера" (скачать можно здесь) содержит подробное представление об угрозах вредоносных расширений браузера и рекомендации по их устранению.
В отчете анализируется область вредоносных расширений, уделяя особое внимание нескольким ключевым аспектам:
1. Изначально вредоносные расширения - это расширения, которые целенаправленно создаются злоумышленниками для причинения вреда. Эти расширения могут быть либо загружены в веб-магазины, либо размещены в инфраструктуре злоумышленника.
2. Скомпрометированные расширения - изначально законные расширения, которые либо напрямую приобретаются злоумышленниками, либо скомпрометированы злоумышленником и используются для вредоносных действий.
3. Опасные расширения - это законные расширения, которые, хотя изначально и не были созданы со злым умыслом, имеют чрезмерные разрешения, которые могут представлять угрозу безопасности.
1. Установка администратором - расширения, которые централизованно распространяются сетевыми администраторами, часто с явного одобрения организации.
Критический вопрос безопасности здесь заключается в том, действительно ли эти расширения необходимы в корпоративной сети и представляют ли они какие-либо риски для безопасности. Важно тщательно оценить потребность в таких расширениях и их потенциальное влияние на сетевую безопасность.
2. Обычная установка - расширения, которые пользователи загружают из официальных магазинов браузеров, посетив список расширений. Такой подход позволяет пользователям самостоятельно выбирать, какие расширения устанавливать.
Хотя такой подход обеспечивает гибкость, он поднимает вопрос безопасности потенциальных рисков, связанных с выбором сотрудников. Оценка популярности и безопасности этих расширений среди сотрудников жизненно важна для поддержания безопасной среды просмотра.
3. Установка разработчиком - расширения, загружаемые с локальных компьютеров сотрудников. Поскольку эти расширения создаются с рабочих станций сотрудников, они обходят обычный процесс проверки установленного программного обеспечения.
Крайне важно изучить последствия для безопасности, связанные с разрешением сотрудникам загружать распакованные файлы расширений непосредственно со своих компьютеров, чтобы предотвратить потенциальные риски.
4. Установка с дополнительной загрузкой - этот метод предполагает установку расширений сторонними приложениями, такими как Adobe или другими поставщиками программного обеспечения. К сожалению, это наименее безопасный вариант, поскольку злоумышленники могут легко использовать его для установки вредоносных расширений без ведома пользователя.
Оценка того, как эти приложения взаимодействуют с браузерами, а также доступа и разрешений, которые они предоставляют расширениям, важна для снижения рисков безопасности.
layerX определил следующее распределение типов установки на основе своих пользовательских данных. Как можно заметить, большинство, 81% расширений, устанавливаются пользователями, скачивающими их из официальных магазинов браузеров.
Недавние инциденты, такие как DataSpii и вредоносная атака Nigelthorn, показали степень ущерба, который могут нанести вредоносные расширения. В обоих случаях пользователи невинно устанавливали расширения, которые ставили под угрозу их конфиденциальность и безопасность. Основная проблема заключается в разрешениях, предоставляемых расширениями. Эти разрешения, часто чрезмерные и недостаточно детализированные, позволяют злоумышленникам использовать их.
Что могут сделать организации, чтобы защитить себя от рисков, связанных с расширениями браузера, не запрещая их использование полностью (действие, которое было бы практически невозможно обеспечить)?
Новый отчет layerX "Раскрытие угрозы вредоносных расширений браузера" (скачать можно здесь) содержит подробное представление об угрозах вредоносных расширений браузера и рекомендации по их устранению.
В отчете анализируется область вредоносных расширений, уделяя особое внимание нескольким ключевым аспектам:
- Типы вредоносных расширений
- Установка - Как вредоносные расширения получают доступ к браузерам пользователей
- Каковы показатели потенциально вредоносных расширений
- Критические разрешения, которыми могут злоупотреблять вредоносные расширения
- Вектор атаки расширений браузера
- Методы смягчения последствий
3 типа вредоносных расширений
Вредоносные расширения можно разделить на три основные группы:1. Изначально вредоносные расширения - это расширения, которые целенаправленно создаются злоумышленниками для причинения вреда. Эти расширения могут быть либо загружены в веб-магазины, либо размещены в инфраструктуре злоумышленника.
2. Скомпрометированные расширения - изначально законные расширения, которые либо напрямую приобретаются злоумышленниками, либо скомпрометированы злоумышленником и используются для вредоносных действий.
3. Опасные расширения - это законные расширения, которые, хотя изначально и не были созданы со злым умыслом, имеют чрезмерные разрешения, которые могут представлять угрозу безопасности.
Как и почему расширения устанавливаются в браузере
Вредоносные расширения могут проникать в браузер жертвы различными способами, каждый из которых имеет свой собственный набор соображений безопасности:1. Установка администратором - расширения, которые централизованно распространяются сетевыми администраторами, часто с явного одобрения организации.
Критический вопрос безопасности здесь заключается в том, действительно ли эти расширения необходимы в корпоративной сети и представляют ли они какие-либо риски для безопасности. Важно тщательно оценить потребность в таких расширениях и их потенциальное влияние на сетевую безопасность.
2. Обычная установка - расширения, которые пользователи загружают из официальных магазинов браузеров, посетив список расширений. Такой подход позволяет пользователям самостоятельно выбирать, какие расширения устанавливать.
Хотя такой подход обеспечивает гибкость, он поднимает вопрос безопасности потенциальных рисков, связанных с выбором сотрудников. Оценка популярности и безопасности этих расширений среди сотрудников жизненно важна для поддержания безопасной среды просмотра.
3. Установка разработчиком - расширения, загружаемые с локальных компьютеров сотрудников. Поскольку эти расширения создаются с рабочих станций сотрудников, они обходят обычный процесс проверки установленного программного обеспечения.
Крайне важно изучить последствия для безопасности, связанные с разрешением сотрудникам загружать распакованные файлы расширений непосредственно со своих компьютеров, чтобы предотвратить потенциальные риски.
4. Установка с дополнительной загрузкой - этот метод предполагает установку расширений сторонними приложениями, такими как Adobe или другими поставщиками программного обеспечения. К сожалению, это наименее безопасный вариант, поскольку злоумышленники могут легко использовать его для установки вредоносных расширений без ведома пользователя.
Оценка того, как эти приложения взаимодействуют с браузерами, а также доступа и разрешений, которые они предоставляют расширениям, важна для снижения рисков безопасности.
layerX определил следующее распределение типов установки на основе своих пользовательских данных. Как можно заметить, большинство, 81% расширений, устанавливаются пользователями, скачивающими их из официальных магазинов браузеров.
Индикаторы потенциально вредоносных расширений
Учитывая широкую популярность того, что пользователи сами загружают расширения, важно проявлять осторожность и обучать сотрудников определять, какие расширения могут быть потенциально вредоносными. Некоторые из основных показателей включают:- Адрес и Email - отсутствие контактного адреса разработчика или электронной почты в списке Chrome Web Store вызывает опасения по поводу отсутствия подотчетности. Важно знать, кто стоит за расширением.
- Последнее обновление - частота обновлений отражает потенциальные риски безопасности и совместимости. Устаревшие расширения могут быть более уязвимы к угрозам безопасности и могут некорректно работать с последними версиями браузера.
- Политика конфиденциальности - Отсутствие политики конфиденциальности в списке интернет-магазинов может указывать на потенциальные проблемы с тем, как расширение обрабатывает пользовательские данные и конфиденциальность. Надежные расширения прозрачны в отношении своих действий с данными.
- Рейтинг - оценки пользователей дают представление об общем качестве расширения и удовлетворенности пользователей. Более высокие оценки часто указывают на более безопасное и надежное расширение.
- Рейтинг пользователей - количество пользовательских оценок также имеет значение. Большее количество оценок обычно означает увеличение базы пользователей и меньший риск возникновения проблем или проблем безопасности.
- Сайт поддержки - наличие сайта поддержки, связанного с расширением, в интернет-магазине позволяет пользователям обращаться за помощью. Отсутствие информации о поддержке может быть красным флагом.
- Количество пользователей - Широко используемые расширения, как правило, являются более безопасным выбором. Низкое количество пользователей может повлиять на поддержку и снизить надежность.
- Веб-сайт - Наличие официального веб-сайта, связанного с расширением, может предоставить дополнительную информацию и ресурсы. Отсутствие веб-сайта может означать отсутствие прозрачности или дополнительной документации.
- Неофициальные магазины - Если расширение недоступно в каком-либо официальном магазине браузеров (например, Chrome Web Store), оно может представлять потенциальный риск. Официальные магазины проходят определенный уровень проверки безопасности.
- Необычные типы установки - к расширениям, использующим необычные методы установки, такие как боковая загрузка или режим разработчика, следует подходить с осторожностью. Эти методы могут обходить меры безопасности и повышать риск вредоносного ПО.
- Бесплатная реклама - расширения, продвигаемые как бесплатные способом, который не имеет финансового смысла, например, через платную рекламу, могут быть признаком подозрительной активности. Подумайте, почему расширение предлагается бесплатно и могут ли у него быть скрытые мотивы.
