数百万企业面临风险:SquareX 展示恶意扩展如何绕过 Google 的 MV3 限制
(SeaPRwire) – 新加坡,2024 年 10 月 3 日 —
在 DEF CON 32 上,SquareX 研究团队发表了一篇名为“狡猾的扩展:MV3 逃生大师”的重磅演讲,分享了他们关于恶意浏览器扩展如何绕过 Google 为构建 Chrome 扩展制定的最新标准——Manifest V3(MV3)的安全功能,将数百万用户和企业置于风险之中的发现。
SquareX 的研究团队公开展示了基于 MV3 的恶意扩展。主要发现包括:
- 扩展可以窃取直播视频流,例如来自 Google Meet 和 Zoom Web 的视频流,无需特殊权限。
- 恶意扩展可以代表用户将协作者添加到私有 GitHub 存储库。
- 这些扩展能够挂钩登录事件,将用户重定向到伪装成密码管理器登录的页面。
- 基于 MV3 构建的扩展可以轻松窃取网站 Cookie、浏览历史记录、书签和下载历史记录,就像它们的 MV2 对应程序一样。
- 恶意扩展可以在活动网页上添加弹出窗口,例如虚假的软件更新提示,诱骗用户下载恶意软件。
浏览器扩展长期以来一直是恶意行为者的目标——斯坦福大学估计,近年来安装了 2.8 亿个恶意 Chrome 扩展。Google 一直在努力解决这个问题,通常依赖独立研究人员来识别恶意扩展。在某些情况下,Google 必须手动删除它们,例如去年 6 月被下架的扩展。在它们被删除之前,这些扩展已经被安装了 7500 万次。
大多数这些问题之所以出现,是因为 Chrome 扩展标准——Manifest Version 2(MV2)漏洞百出,它授予扩展过度权限,并允许在没有用户知情的情况下动态注入脚本。这使得恶意行为者可以轻松利用这些漏洞窃取数据、注入恶意软件和访问敏感信息。MV3 的推出旨在通过加强安全性、限制权限和要求扩展预先声明其脚本来解决这些问题。
然而,SquareX 的研究表明,MV3 在许多关键领域存在不足,证明了攻击者仍然能够利用最小的权限来进行恶意活动。即使在更新的 MV3 框架下,个人用户和企业也面临着风险。
当今的安全解决方案,例如终端安全、SASE/SSE 和安全 Web 网关 (SWG),无法洞察已安装的浏览器扩展。目前还没有成熟的工具或平台能够动态检测这些扩展,这使得企业无法准确评估扩展是安全还是恶意。
SquareX 致力于为企业提供最高级别的网络安全保护,并构建了关键的创新功能来解决这个问题,包括;
- 细粒度策略,用于决定允许/阻止哪些扩展,参数包括扩展权限、创建日期、上次更新、评论、评分、用户数、作者属性等
- SquareX 在运行时根据策略、启发式方法和机器学习洞察力阻止扩展发送的网络请求
- SquareX 还在其云服务器中使用修改后的 Chromium 浏览器对 Chrome 扩展进行动态分析
这些只是 SquareX 解决方案的一部分,该解决方案已部署在中大型企业中,有效地阻止了这些攻击。
, SquareX 的创始人兼首席执行官,警告了日益增长的风险:“浏览器扩展是 EDR/XDR 的盲点,SWG 无法推断其存在。这使得浏览器扩展成为一种非常有效且强大的技术,可以静默安装并监控企业用户,攻击者正在利用它们来监控网络通话、代表受害者向外部方授予权限、窃取 Cookie 和其他网站数据等等。”“我们的研究证明,如果没有动态分析和企业制定严格策略的能力,将无法识别和阻止这些攻击。虽然 Google MV3 的初衷很好,但它距离在设计和实施阶段强制执行安全性的目标还很遥远。”Vivek Ramachandran 说。
关于 SquareX
帮助组织实时检测、缓解和追查针对其用户发生的客户端 Web 攻击。
SquareX 的业界首创的浏览器检测与响应 (BDR) 解决方案采用攻击为中心的浏览器安全方法,确保企业用户免受恶意二维码、浏览器内钓鱼攻击、宏病毒、恶意扩展和其他 Web 攻击(包括恶意文件、网站、脚本和受损网络)等高级威胁的侵害。
使用 SquareX,企业还可以为承包商和远程员工提供对内部应用程序、企业 SaaS 的安全访问,并将 BYOD/非托管设备上的浏览器转换为受信任的浏览会话。
联系方式
公关负责人
Junice Liew
SquareX
junice@sqrx.com
本文由第三方内容提供商提供。SeaPRwire (https://www.seaprwire.com/)对此不作任何保证或陈述。
分类: 头条新闻,日常新闻
SeaPRwire为公司和机构提供全球新闻稿发布,覆盖超过6,500个媒体库、86,000名编辑和记者,以及350万以上终端桌面和手机App。SeaPRwire支持英、日、德、韩、法、俄、印尼、马来、越南、中文等多种语言新闻稿发布。