Key Takeaway
- Majoriti sambungan di Kedai Web Chrome memerlukan kebenaran berbahaya yang boleh disalahgunakan untuk tujuan berniat jahat.
- Semua penyemak imbas web cuba menangani masalah sambungan yang sesat.
- V3 Manifes Google ialah satu penyelesaian sedemikian yang menangani beberapa isu tetapi tidak banyak mempengaruhi kebenaran yang tersedia untuk sambungan.
Ingat sambungan penyemak imbas semakan ejaan yang meminta kebenaran untuk membaca dan menganalisis semua yang anda taip? Pakar keselamatan siber memberi amaran bahawa terdapat kemungkinan besar bahawa sesetengah sambungan menyalahgunakan persetujuan anda untuk mencuri kata laluan yang anda masukkan ke dalam penyemak imbas web.
Untuk membantu pengguna menghargai bahaya sambungan web, syarikat keselamatan digital Talon telah menganalisis Kedai Web Chrome untuk melaporkan bahawa puluhan ribu sambungan mempunyai akses kepada kebenaran yang membimbangkan, seperti keupayaan untuk menukar data pada semua tapak yang dilawati, muat turun fail, akses aktiviti muat turun dan banyak lagi.
“Banyak sambungan popular meletakkan pengguna dalam risiko,” pengasas bersama dan CTO Talon Cyber Security Ohad Bobrov menjelaskan kepada Lifewire melalui e-mel. “[Malah] sambungan jinak mungkin mempunyai kelemahan dalam kodnya, atau rantaian bekalan, dan boleh terdedah kepada pengambilalihan oleh pelakon yang berniat jahat.”
Sambungan Sesat
Talon berpendapat bahawa sambungan menawarkan nilai yang hebat kepada pengguna mereka dan membawa pelbagai ciri berguna kepada penyemak imbas web seperti penyekatan iklan, semakan ejaan, pengurusan kata laluan dan banyak lagi. Walau bagaimanapun, untuk membawa fungsi ini, sambungan memerlukan kebenaran yang luas untuk mengubah suai penyemak imbas, kelakuannya dan tapak web yang dilawati.
“Sememangnya, tahap kawalan dan akses daripada pelakon pihak ketiga ini boleh menimbulkan ancaman keselamatan dan privasi yang ketara kepada pengguna,” jelas Talon.
Syarikat itu menambah bahawa walaupun proses pemeriksaan Google, banyak sambungan berniat jahat berjaya menyelinap melalui jurang dan akhirnya memberi kesan buruk kepada berjuta-juta pengguna. Analisisnya mendedahkan bahawa lebih 60% daripada semua sambungan di Kedai Web Chrome mempunyai kebenaran untuk membaca atau menukar data dan aktiviti pengguna.
Sebagai contoh, Talon berkata penyemak ejaan dan tatabahasa meminta kebenaran untuk menyuntik skrip yang dijalankan dari konteks halaman web untuk menganalisis teks pengguna. Mereka melakukan ini biasanya dengan memeriksa medan input atau mengelog ketukan kekunci pengguna dengan cara lain. Syarikat itu berkata ini secara berkesan membenarkan sambungan mengumpul dan mengeluarkan sebarang maklumat pada halaman web, termasuk kata laluan dan data sensitif lain.
Kemudian terdapat penyekatan iklan, yang membentuk beberapa sambungan teratas Kedai Web Chrome. Fungsi ini melibatkan pengalihan keluar elemen daripada halaman dan memerlukan kebenaran yang sama seperti penyemak ejaan.
Tidak diketahui data apa yang telah dieksfiltrasi, tetapi data itu berpotensi mencuri apa-apa daripada mana-mana halaman, termasuk kata laluan.
Begitu juga, kebenaran yang diberikan kepada perkongsian skrin dan sambungan persidangan video untuk melakukan tugas yang dimaksudkan, juga boleh disalahgunakan untuk menangkap skrin dan audio pengguna.
"Dua kelemahan ditemui dalam uBlock Origin dalam beberapa bulan lepas, yang membenarkan penyerang mengeksploitasi kebenaran sambungan untuk membaca dan menukar data pada semua tapak dan untuk mencuri maklumat pengguna yang sensitif," kata Bobrov kepada kami.
"Penyekat iklan seperti uBlock Origin sangat popular dan biasanya mempunyai akses kepada setiap halaman yang dilawati pengguna. Di sebalik tabir, mereka dikuasakan oleh senarai penapis yang disediakan oleh komuniti - pemilih CSS yang menentukan elemen yang hendak disekat. Ini senarai tidak dipercayai sepenuhnya, jadi mereka dikekang untuk menghalang peraturan berniat jahat daripada mencuri data pengguna, " tulis penyelidik keselamatan Gareth Heyes ketika dia menunjukkan menggunakan kelemahan dalam sambungan untuk mencuri kata laluan.
Bobrov turut berkongsi bahawa pada 2019 sambungan popular The Great Suspender, yang mempunyai lebih dua juta pengguna, telah dibeli oleh pelakon berniat jahat, yang terus mengeksploitasi kebenarannya untuk menyuntik skrip untuk menjalankan kod yang dihoskan dari jauh yang belum disemak. dalam halaman web.
"Tidak diketahui data apa yang dieksfiltrasi," katanya, "tetapi data itu berpotensi mencuri apa-apa dari mana-mana halaman, termasuk kata laluan."
Tiada Penyelesaian Sebenar
Bobrov mengatakan bahawa Chrome dan hampir semua penyemak imbas web terkemuka lain sedang berusaha untuk membendung risiko keselamatan yang ditimbulkan oleh sambungan, bukan sahaja dengan meningkatkan proses tapisan mereka tetapi juga dengan mengehadkan beberapa keupayaan sambungan.
Salah satu langkah terbaharu yang Bobrov nyatakan ialah Manifes Google V3. Beliau mengatakan bahawa bagi pengguna biasa, perbezaan yang paling ketara yang akan dibawa oleh Manifest V3 kepada sambungan ialah larangan sepenuhnya pada kod yang dihoskan dari jauh dan peralihan dalam cara sambungan mengubah suai permintaan web. Bagaimanapun, beliau menambah bahawa pada sisi negatifnya, Manifest V3 telah dikritik kerana sangat menghalang penyekat iklan.
"Arah aliran yang paling ketara ialah menutup jurang keselamatan, meningkatkan keterlihatan dan kawalan pengguna akhir (cth., tapak mana yang membenarkan sambungan dijalankan) dan melarang kod yang tidak boleh disemak daripada sambungan," kata Bobrov. "Sesetengah daripada perubahan ini terkandung dalam Manifest V3 Google. Walau bagaimanapun, tiada satu pun daripada perubahan ini mengubah secara mendadak kebenaran yang tersedia untuk sambungan."
