מזונות חשובים
- רוב התוספים בחנות האינטרנט של Chrome דורשים הרשאות מסוכנות שניתן לעשות בהן שימוש לרעה למטרות זדוניות.
- כל דפדפני האינטרנט מנסים להתמודד עם הבעיה של הרחבות סוררות.
- המניפסט V3 של Google הוא פתרון כזה שמתמודד עם בעיות מסוימות, אבל לא מצליח לשלוט בהרשאות הזמינות לתוספים.
זוכר את תוסף הדפדפן לבדיקת איות שביקש הרשאות לקרוא ולנתח כל מה שאתה מקליד? מומחי אבטחת סייבר מזהירים שקיים סיכוי גבוה שתוספים מסוימים עושים שימוש לרעה בהסכמתך כדי לגנוב את הסיסמאות שאתה מכניס לדפדפן האינטרנט.
כדי לעזור למשתמשים להעריך את הסכנות של הרחבות אינטרנט, חברת האבטחה הדיגיטלית Talon ניתחה את חנות האינטרנט של Chrome כדי לדווח שלעשרות אלפי תוספים יש גישה להרשאות מדאיגות, כמו היכולת לשנות נתונים בכל האתרים שבהם ביקרת, הורדת קבצים, גישה לפעילות הורדה ועוד.
"תוספים פופולריים רבים מסכנים משתמשים", הסביר מייסד שותף ו-CTO של Talon Cyber Security אוהד בוברוב ל-Lifewire בדוא"ל. "[אפילו] תוספים שפירים עשויים להיות בעלי נקודות תורפה בקוד, או בשרשרת האספקה שלהם, ויכולים להיות רגישים להשתלטות על ידי שחקנים זדוניים."
הרחבות רצופות
Talon טוענת שהתוספות מציעות ערך רב למשתמשים שלהן, ומביאות שורה של תכונות שימושיות לדפדפני האינטרנט כגון חסימת מודעות, בדיקת איות, ניהול סיסמאות ועוד. עם זאת, כדי להביא פונקציונליות אלה, התוספים דורשים הרשאות רחבות כדי לשנות את הדפדפן, התנהגותו ואת האתרים שבהם ביקרת.
"באופן טבעי, רמה זו של שליטה וגישה מצד גורמי צד שלישי יכולה להוות איומי אבטחה ופרטיות משמעותיים למשתמשים", הסביר Talon.
החברה מוסיפה שלמרות תהליך הבדיקה של גוגל, הרחבות זדוניות רבות מצליחות לחמוק מהפערים ובסופו של דבר משפיעות לרעה על מיליוני משתמשים. הניתוח שלה גילה שלמעלה מ-60% מכל התוספים בחנות האינטרנט של Chrome יש הרשאות לקרוא או לשנות נתוני משתמש ופעילות.
לדוגמה, Talon אומר שבודקי איות ודקדוק מבקשים הרשאה להחדיר סקריפטים הפועלים מההקשר של דף האינטרנט כדי לנתח את הטקסט של המשתמש. הם עושים זאת בדרך כלל על ידי בדיקת שדות הקלט או רישום הקשות של המשתמש באמצעים אחרים. החברה טוענת שהדבר מאפשר למעשה לתוספים לאסוף ולחלץ כל מידע בדף האינטרנט, כולל סיסמאות ונתונים רגישים אחרים.
אז יש חסימת פרסומות, שמהווה חלק מההרחבות המובילות של חנות האינטרנט של Chrome. פונקציונליות זו כוללת הסרת אלמנטים מהדף ודורשת את אותן הרשאות כמו בודקי איות.
לא ידוע אילו נתונים הוצאו, אבל זה יכול היה לגנוב כל דבר מכל דף, כולל סיסמאות.
באופן דומה, ההרשאות הניתנות לשיתוף מסך ותוספות ועידת וידאו כדי לבצע את המשימה המיועדת להן, יכולות לשמש לרעה גם כדי ללכוד את המסך והשמע של המשתמש.
"נמצאו שתי נקודות תורפה ב-uBlock Origin בחודשים האחרונים, מה שאפשר לתוקפים לנצל את ההרשאה של התוסף לקרוא ולשנות נתונים בכל האתרים ולגנוב מידע משתמש רגיש", אמר לנו בוברוב.
"חוסמי פרסומות כמו uBlock Origin הם פופולריים ביותר ובדרך כלל יש להם גישה לכל דף שבו משתמש מבקר. מאחורי הקלעים, הם מופעלים על ידי רשימות סינון שסופקו על ידי הקהילה - בוררי CSS שמכתיבים אילו אלמנטים לחסום. אלה רשימות אינן מהימנות לחלוטין, ולכן הן מוגבלות למנוע מכללים זדוניים לגנוב נתוני משתמשים", כתב חוקר האבטחה Gareth Heyes כשהוכיח שימוש בפגיעויות בתוסף כדי לגנוב סיסמאות.
בוברוב גם שיתף שבשנת 2019 התוסף הפופולרי The Great Suspender, שהיה לו למעלה משני מיליון משתמשים, נרכש על ידי שחקן זדוני, שהמשיך לנצל את ההרשאות שלו להחדרת סקריפטים כדי להריץ קוד שלא נבדק, המתארח מרחוק בדפי אינטרנט.
"לא ידוע אילו נתונים הועברו", אמר, "אבל זה יכול היה לגנוב כל דבר מכל דף, כולל סיסמאות."
אין פתרון אמיתי
Bobrov אומר שכרום ולמעשה כל דפדפני האינטרנט המובילים האחרים פועלים כדי להכיל את סיכון האבטחה הנשקף מהרחבות, לא רק על ידי שיפור תהליך הבדיקה שלהם אלא גם על ידי הגבלת חלק מהיכולות של התוספים.
צעד אחד שכזה שבורוב מציין לאחרונה הוא Manifest V3 של גוגל. הוא אומר שעבור המשתמש הממוצע, ההבדל הבולט ביותר ש- Manifest V3 יביא להרחבות הוא איסור מוחלט על קוד מתארח מרחוק ושינוי באופן שבו הרחבות משנות בקשות אינטרנט.עם זאת, הוא מוסיף כי בצד החיסרון, Manifest V3 ספגה ביקורת על כך שהוא פוגע קשות בחוסמי פרסומות.
"המגמות המשמעותיות ביותר הן סגירת פערי אבטחה, הגדלת הנראות והשליטה של משתמשי הקצה (למשל, אילו אתרים מאפשרים להפעיל תוספים), ואיסור על קוד בלתי ניתן לבדיקה מהרחבות", אמר בוברוב. "חלק מהשינויים הללו כלולים ב-Manfest V3 של Google. עם זאת, אף אחד מהשינויים הללו לא משנה באופן דרמטי את ההרשאות הזמינות לתוספים."