บริษัทนับล้านเสี่ยงภัย: SquareX แสดงให้เห็นว่า Extension ที่เป็นอันตรายหลีกเลี่ยงข้อจำกัดของ Google MV3 ได้อย่างไร

(SeaPRwire) –   สิงคโปร์, 03 ตุลาคม 2567 —

ที่ DEF CON 32 ทีมวิจัยได้นำเสนอข้อมูลสำคัญในหัวข้อ Sneaky Extensions: The MV3 Escape Artists โดยได้แบ่งปันผลการวิจัยเกี่ยวกับวิธีที่ส่วนขยายเบราว์เซอร์ที่เป็นอันตรายสามารถหลีกเลี่ยงคุณลักษณะด้านความปลอดภัยของมาตรฐานล่าสุดของ Google สำหรับการสร้างส่วนขยาย Chrome: Manifest V3 (MV3) ซึ่งเป็นการเพิ่มความเสี่ยงให้กับผู้ใช้และธุรกิจหลายล้านราย

ทีมวิจัยของ SquareX ได้สาธารณส่วนขยายที่เป็นอันตรายที่สร้างขึ้นบน MV3 ผลการวิจัยหลัก ได้แก่:

  • ส่วนขยายสามารถขโมยสตรีมวิดีโอสด เช่น สตรีมจาก Google Meet และ Zoom Web โดยไม่ต้องขอสิทธิ์พิเศษ
  • ส่วนขยายที่เป็นอันตรายสามารถทำหน้าที่แทนผู้ใช้เพื่อเพิ่มผู้ร่วมงานในที่เก็บ GitHub ส่วนตัว
  • ส่วนขยายมีความสามารถในการเชื่อมต่อกับเหตุการณ์การเข้าสู่ระบบเพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเว็บที่ปลอมแปลงเป็นหน้าเข้าสู่ระบบของตัวจัดการรหัสผ่าน
  • ส่วนขยายที่สร้างขึ้นบน MV3 สามารถขโมยคุกกี้ของเว็บไซต์ ประวัติการท่องเว็บ บุ๊กมาร์ก และประวัติการดาวน์โหลดได้อย่างง่ายดาย เหมือนกับส่วนขยาย MV2
  • ส่วนขยายที่เป็นอันตรายสามารถเพิ่มป๊อปอัปไปยังหน้าเว็บที่ใช้งานอยู่ เช่น แจ้งเตือนการอัปเดตซอฟต์แวร์ปลอม เพื่อหลอกลวงผู้ใช้ให้ดาวน์โหลดมัลแวร์

ส่วนขยายเบราว์เซอร์เป็นเป้าหมายของผู้กระทำผิดมานานแล้ว – มหาวิทยาลัยสแตนฟอร์ด ประมาณการว่าส่วนขยาย Chrome ที่เป็นอันตราย 280 ล้านรายการถูกติดตั้งในช่วงไม่กี่ปีที่ผ่านมา Google ได้พยายามแก้ไขปัญหานี้ โดยมักจะพึ่งพานักวิจัยอิสระในการระบุส่วนขยายที่เป็นอันตราย ในบางกรณี Google ต้องลบส่วนขยายออกด้วยตนเอง เช่น ซึ่งถูกลบออกในเดือนมิถุนายนปีที่แล้ว เมื่อถูกลบออก ส่วนขยายเหล่านี้ถูกติดตั้งไปแล้ว 75 ล้านครั้ง

ปัญหาส่วนใหญ่เกิดขึ้นเนื่องจากมาตรฐานส่วนขยาย Chrome Manifest Version 2 (MV2) เต็มไปด้วยช่องโหว่ที่ให้สิทธิ์ส่วนขยายมากเกินไป และอนุญาตให้ฉีดสคริปต์ได้ทันที โดยมักจะไม่แจ้งให้ผู้ใช้ทราบ ทำให้ผู้กระทำผิดสามารถใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อขโมยข้อมูล ฉีดมัลแวร์ และเข้าถึงข้อมูลที่ละเอียดอ่อน MV3 ถูกนำมาใช้เพื่อแก้ไขปัญหาเหล่านี้โดยการเพิ่มความปลอดภัย ลดสิทธิ์ และกำหนดให้ส่วนขยายประกาศสคริปต์ล่วงหน้า

อย่างไรก็ตาม การวิจัยของ SquareX แสดงให้เห็นว่า MV3 ยังไม่เพียงพอในหลาย ๆ ด้านที่สำคัญ แสดงให้เห็นว่าผู้โจมตีสามารถใช้ประโยชน์จากสิทธิ์ขั้นต่ำเพื่อดำเนินการที่เป็นอันตรายได้ ทั้งผู้ใช้รายบุคคลและองค์กรมีความเสี่ยง แม้ภายใต้กรอบ MV3 ที่ใหม่กว่า

โซลูชันด้านความปลอดภัยในปัจจุบัน เช่น ความปลอดภัยของจุดสิ้นสุด SASE/SSE และ Secure Web Gateways (SWG) ไม่มีวิสัยทัศน์เกี่ยวกับส่วนขยายเบราว์เซอร์ที่ติดตั้ง ในปัจจุบันไม่มีเครื่องมือหรือแพลตฟอร์มที่ครบครันที่สามารถใช้เครื่องมือส่วนขยายเหล่านี้ได้อย่างไดนามิก ทำให้ธุรกิจไม่สามารถประเมินได้อย่างถูกต้องว่าส่วนขยายปลอดภัยหรือเป็นอันตราย

SquareX มุ่งมั่นที่จะให้การปกป้องความปลอดภัยทางไซเบอร์ระดับสูงสุดสำหรับองค์กรและได้สร้างคุณลักษณะที่สำคัญเพื่อแก้ไขปัญหานี้ ซึ่งรวมถึง;

  • นโยบายแบบละเอียดเพื่อตัดสินใจว่าจะอนุญาต/บล็อกส่วนขยายใด และพารามิเตอร์รวมถึงสิทธิ์ของส่วนขยาย วันที่สร้าง อัปเดตครั้งล่าสุด รีวิว คะแนน จำนวนผู้ใช้ แอตทริบิวต์ของผู้เขียน ฯลฯ
  • SquareX บล็อกคำขอเครือข่ายที่ส่งโดยส่วนขยายในขณะทำงาน – โดยอิงจากนโยบาย อัลกอริทึม และข้อมูลเชิงลึกของการเรียนรู้ของเครื่อง
  • SquareX ยังทดลองวิเคราะห์ส่วนขยาย Chrome แบบไดนามิกโดยใช้เบราว์เซอร์ Chromium ที่ปรับเปลี่ยนในเซิร์ฟเวอร์คลาวด์ของตนเอง

สิ่งเหล่านี้เป็นส่วนหนึ่งของโซลูชันของ SquareX ซึ่งกำลังถูกนำไปใช้ในองค์กรขนาดกลาง-ใหญ่ และกำลังบล็อกการโจมตีเหล่านี้อย่างมีประสิทธิภาพ

, ผู้ก่อตั้งและซีอีโอของ , เตือนเกี่ยวกับความเสี่ยงที่เพิ่มขึ้น: “ส่วนขยายเบราว์เซอร์เป็นจุดบอดสำหรับ EDR/XDR และ SWG ไม่มีวิธีที่จะอนุมานการมีอยู่ของพวกมัน นี่ทำให้ส่วนขยายเบราว์เซอร์เป็นเทคนิคที่มีประสิทธิภาพและทรงพลังมากในการติดตั้งและตรวจสอบผู้ใช้ในองค์กรอย่างเงียบ ๆ และผู้โจมตีกำลังใช้ประโยชน์จากพวกมันเพื่อตรวจสอบการสื่อสารผ่านการโทรผ่านเว็บ ทำหน้าที่แทนเหยื่อเพื่อให้สิทธิ์แก่บุคคลภายนอก ขโมยคุกกี้และข้อมูลเว็บไซต์อื่น ๆ และอื่น ๆ” “การวิจัยของเราพิสูจน์แล้วว่าหากไม่มีการวิเคราะห์แบบไดนามิกและความสามารถขององค์กรในการใช้นโยบายที่เข้มงวด จะไม่สามารถระบุและบล็อกการโจมตีเหล่านี้ได้ Google MV3 ถึงแม้จะมีเจตนาดี แต่ก็ยังห่างไกลจากการบังคับใช้ความปลอดภัยทั้งในด้านการออกแบบและการนำไปใช้” Vivek Ramachandran กล่าว

เกี่ยวกับ SquareX
ช่วยให้องค์กรตรวจจับ ลดผลกระทบ และตามล่าภัยคุกคามการโจมตีเว็บแบบฝั่งไคลเอ็นต์ที่เกิดขึ้นกับผู้ใช้ของพวกเขาแบบเรียลไทม์

โซลูชัน Browser Detection and Response (BDR) ที่เป็นอันดับแรกของ SquareX ใช้แนวทางที่เน้นการโจมตีเพื่อความปลอดภัยของเบราว์เซอร์ ทำให้มั่นใจได้ว่าผู้ใช้ในองค์กรได้รับการปกป้องจากภัยคุกคามขั้นสูง เช่น รหัส QR ที่เป็นอันตราย การปลอมแปลงเบราว์เซอร์ในเบราว์เซอร์ มัลแวร์ที่ใช้มาโคร ส่วนขยายที่เป็นอันตราย และการโจมตีเว็บอื่น ๆ ที่เกี่ยวข้องกับไฟล์ เว็บไซต์ สคริปต์ และเครือข่ายที่ถูกบุกรุก

ด้วย SquareX องค์กรสามารถให้ผู้รับเหมาและพนักงานระยะไกลเข้าถึงแอปพลิเคชันภายใน Enterprise SaaS ได้อย่างปลอดภัย และแปลงเบราว์เซอร์บนอุปกรณ์ BYOD/อุปกรณ์ที่ไม่ได้จัดการให้เป็นเซสชันการท่องเว็บที่เชื่อถือได้

ติดต่อ

หัวหน้าฝ่ายประชาสัมพันธ์
Junice Liew
SquareX
junice@sqrx.com

บทความนี้ให้บริการโดยผู้ให้บริการเนื้อหาภายนอก SeaPRwire (https://www.seaprwire.com/) ไม่ได้ให้การรับประกันหรือแถลงการณ์ใดๆ ที่เกี่ยวข้องกับบทความนี้

หมวดหมู่: ข่าวสําคัญ ข่าวประจําวัน

SeaPRwire จัดส่งข่าวประชาสัมพันธ์สดให้กับบริษัทและสถาบัน โดยมียอดการเข้าถึงสื่อกว่า 6,500 แห่ง 86,000 บรรณาธิการและนักข่าว และเดสก์ท็อปอาชีพ 3.5 ล้านเครื่องทั่ว 90 ประเทศ SeaPRwire รองรับการเผยแพร่ข่าวประชาสัมพันธ์เป็นภาษาอังกฤษ เกาหลี ญี่ปุ่น อาหรับ จีนตัวย่อ จีนตัวเต็ม เวียดนาม ไทย อินโดนีเซีย มาเลเซีย เยอรมัน รัสเซีย ฝรั่งเศส สเปน โปรตุเกส และภาษาอื่นๆ