Belangrijkste afhaalrestaurants
- De meeste extensies in de Chrome Web Store vereisen gevaarlijke machtigingen die kunnen worden misbruikt voor kwaadaardige doeleinden.
- Alle webbrowsers proberen het probleem van eigenzinnige extensies aan te pakken.
- Google's Manifest V3 is zo'n oplossing die een aantal problemen aanpakt, maar weinig invloed heeft op de rechten die beschikbaar zijn voor de extensies.
Weet je nog die browserextensie voor spellingcontrole die toestemming vroeg om alles wat je typt te lezen en analyseren? Experts op het gebied van cyberbeveiliging waarschuwen dat de kans groot is dat sommige extensies uw toestemming misbruiken om de wachtwoorden te stelen die u in de webbrowser invoert.
Om gebruikers te helpen de gevaren van webextensies te begrijpen, heeft het digitale beveiligingsbedrijf Talon de Chrome Web Store geanalyseerd om te melden dat tienduizenden extensies toegang hebben tot zorgwekkende machtigingen, zoals de mogelijkheid om gegevens op alle bezochte sites te wijzigen, bestanden downloaden, toegang krijgen tot downloadactiviteiten en meer.
"Veel populaire extensies brengen gebruikers in gevaar", legde mede-oprichter en CTO van Talon Cyber Security Ohad Bobrov uit aan Lifewire via e-mail. "[Zelfs] goedaardige extensies kunnen kwetsbaarheden hebben in hun code of toeleveringsketen, en kunnen vatbaar zijn voor overnames door kwaadwillende actoren."
Wayward Extensions
Talon stelt dat extensies grote waarde bieden aan hun gebruikers en een groot aantal handige functies voor de webbrowsers bieden, zoals ad-blocking, spellingcontrole, wachtwoordbeheer en meer. Om deze functionaliteiten te kunnen bieden, hebben de extensies echter brede machtigingen nodig om de browser, het gedrag en de bezochte websites te wijzigen.
"Natuurlijk kan dit niveau van controle en toegang van externe actoren aanzienlijke beveiligings- en privacybedreigingen vormen voor de gebruikers", legt Talon uit.
Het bedrijf voegt eraan toe dat ondanks het doorlichtingsproces van Google, veel kwaadaardige extensies erin slagen door de gaten te glippen en uiteindelijk miljoenen gebruikers nadelig beïnvloeden. Uit de analyse bleek dat meer dan 60% van alle extensies in de Chrome Web Store machtigingen hebben om gebruikersgegevens en activiteiten te lezen of te wijzigen.
Talon zegt bijvoorbeeld dat spelling- en grammaticacontroles toestemming vragen om scripts te injecteren die vanuit de context van de webpagina worden uitgevoerd om de tekst van de gebruiker te analyseren. Ze doen dit meestal door de invoervelden te inspecteren of de toetsaanslagen van de gebruiker op een andere manier vast te leggen. Het bedrijf zegt dat dit de extensies in staat stelt om alle informatie op de webpagina te verzamelen en te exfiltreren, inclusief wachtwoorden en andere gevoelige gegevens.
Dan is er ad-blocking, die enkele van de beste extensies van de Chrome Web Store vormt. Deze functionaliteit omvat het verwijderen van elementen van de pagina en vereist dezelfde rechten als spellingcontroles.
Het is niet bekend welke gegevens zijn geëxfiltreerd, maar het kan mogelijk alles van elke pagina hebben gestolen, inclusief wachtwoorden.
Op dezelfde manier kunnen de machtigingen die zijn verleend voor het delen van schermen en videoconferentie-extensies om hun beoogde taak uit te voeren, ook worden misbruikt om het scherm en de audio van de gebruiker vast te leggen.
"Er zijn de afgelopen maanden twee kwetsbaarheden gevonden in uBlock Origin, waardoor aanvallers de toestemming van de extensie konden misbruiken om gegevens op alle sites te lezen en te wijzigen en om gevoelige gebruikersinformatie te stelen", vertelde Bobrov ons.
"Adblockers zoals uBlock Origin zijn enorm populair en hebben doorgaans toegang tot elke pagina die een gebruiker bezoekt. Achter de schermen worden ze mogelijk gemaakt door door de gemeenschap verstrekte filterlijsten - CSS-selectors die bepalen welke elementen moeten worden geblokkeerd. lijsten zijn niet helemaal vertrouwd, dus ze zijn beperkt om te voorkomen dat kwaadaardige regels gebruikersgegevens stelen", schreef beveiligingsonderzoeker Gareth Heyes toen hij aantoonde dat hij kwetsbaarheden in de extensie gebruikte om wachtwoorden te stelen.
Bobrov deelde ook dat in 2019 de populaire The Great Suspender-extensie, die meer dan twee miljoen gebruikers had, werd gekocht door een kwaadwillende acteur, die zijn toestemmingen misbruikte om scripts te injecteren om niet-beoordeelde, op afstand gehoste code uit te voeren op webpagina's.
"Het is niet bekend welke gegevens zijn geëxfiltreerd," zei hij, "maar het kan mogelijk alles van elke pagina hebben gestolen, inclusief wachtwoorden."
Geen echte oplossing
Bobrov zegt dat Chrome en vrijwel alle andere toonaangevende webbrowsers eraan werken om het beveiligingsrisico van extensies in te dammen, niet alleen door hun controleproces te verbeteren, maar ook door enkele van de mogelijkheden van de extensies te beperken.
Een van die recente stappen waar Bobrov op wijst, is Google's Manifest V3. Hij zegt dat voor de gemiddelde gebruiker het meest opvallende verschil dat Manifest V3 voor extensies zou brengen, een volledig verbod is op op afstand gehoste code en een verschuiving in de manier waarop extensies webverzoeken wijzigen. Hij voegt er echter aan toe dat Manifest V3 bekritiseerd is omdat het adblockers ernstig belemmert.
"De belangrijkste trends zijn het dichten van beveiligingslacunes, het vergroten van de zichtbaarheid en controle van de eindgebruiker (bijvoorbeeld op welke sites extensies mogen worden uitgevoerd) en het verbieden van niet-beoordeelbare code van extensies, "zei Bobrov. "Sommige van deze wijzigingen zijn opgenomen in Google's Manifest V3. Geen van deze wijzigingen verandert echter drastisch de rechten die beschikbaar zijn voor extensies."
