Asosiy takliflar
- Chrome internet-doʻkonidagi kengaytmalarning aksariyati zararli maqsadlarda notoʻgʻri ishlatilishi mumkin boʻlgan xavfli ruxsatlarni talab qiladi.
- Barcha veb-brauzerlar noto'g'ri kengaytmalar muammosini hal qilishga harakat qilmoqda.
- Google'ning Manifest V3 - bu ba'zi muammolarni hal qiladigan, ammo kengaytmalar uchun mavjud bo'lgan ruxsatlarni boshqarishga unchalik ta'sir qilmaydigan shunday yechimlardan biri.
Siz yozgan hamma narsani oʻqish va tahlil qilish uchun ruxsat soʻragan imlo tekshiruvi brauzer kengaytmasi esingizdami? Kiberxavfsizlik boʻyicha mutaxassislarning ogohlantirishicha, baʼzi kengaytmalar veb-brauzerga kiritgan parollaringizni oʻgʻirlash uchun roziligingizdan notoʻgʻri foydalanishi ehtimoli yuqori.
Foydalanuvchilarga veb-kengaytmalarning xavf-xatarlarini tushunishlariga yordam berish uchun Talon raqamli xavfsizlik kompaniyasi Chrome internet-doʻkonini tahlil qilib, oʻn minglab kengaytmalar barcha tashrif buyurilgan saytlardagi maʼlumotlarni oʻzgartirish kabi xavotirli ruxsatlarga ega ekanligini xabar qildi., fayllarni yuklab oling, yuklab olish tarixiga kiring va boshqalar.
“Koʻplab mashhur kengaytmalar foydalanuvchilarni xavf ostiga qoʻyadi”, dedi Talon Cyber Security asoschisi va texnik direktori Ohad Bobrov Lifewire’ga elektron pochta orqali. “[Hatto] zararsiz kengaytmalarning kodlari yoki ta’minot zanjirida zaifliklar bo‘lishi mumkin va ular yomon niyatli shaxslar tomonidan egallab olinishiga moyil bo‘lishi mumkin.”
Yomon kengaytmalar
Talonning ta'kidlashicha, kengaytmalar o'z foydalanuvchilariga katta qiymat beradi va veb-brauzerlarga reklamani bloklash, imlo tekshiruvi, parolni boshqarish va boshqalar kabi ko'plab foydali xususiyatlarni taqdim etadi. Biroq, bu funksiyalarni kiritish uchun kengaytmalar brauzerni, uning xatti-harakatlarini va tashrif buyurilgan veb-saytlarni o'zgartirish uchun keng ruxsatlarni talab qiladi.
“Tabiiyki, uchinchi tomon ishtirokchilari tomonidan nazorat va kirishning bunday darajasi foydalanuvchilar uchun katta xavfsizlik va maxfiylikka tahdid solishi mumkin”, deb tushuntirdi Talon.
Kompaniyaning qoʻshimcha qilishicha, Google tekshirish jarayoniga qaramay, koʻplab zararli kengaytmalar boʻshliqlardan oʻtib ketadi va millionlab foydalanuvchilarga salbiy taʼsir koʻrsatadi. Uning tahlili shuni ko‘rsatdiki, Chrome internet-do‘konidagi barcha kengaytmalarning 60% dan ortig‘i foydalanuvchi ma’lumotlari va harakatlarini o‘qish yoki o‘zgartirishga ruxsatga ega.
Masalan, Talonning aytishicha, imlo va grammatik tekshiruvlar foydalanuvchi matnini tahlil qilish uchun veb-sahifa kontekstidan ishlaydigan skriptlarni kiritishga ruxsat so'rashadi. Ular buni odatda kirish maydonlarini tekshirish yoki foydalanuvchi tugmachalarini boshqa usullar bilan yozish orqali amalga oshiradilar. Kompaniyaning taʼkidlashicha, bu kengaytmalarga veb-sahifadagi har qanday maʼlumotni, jumladan, parollar va boshqa maxfiy maʼlumotlarni toʻplash va olib tashlash imkonini beradi.
Keyin, Chrome internet-doʻkonining eng yaxshi kengaytmalarini tashkil etuvchi reklama blokirovkasi mavjud. Bu funksiya sahifadan elementlarni olib tashlashni o‘z ichiga oladi va imlo tekshirgichlari bilan bir xil ruxsatlarni talab qiladi.
Qaysi maʼlumotlar oʻgʻirlangani nomaʼlum, lekin u istalgan sahifadagi hamma narsani, jumladan, parollarni ham oʻgʻirlashi mumkin edi.
Shunga oʻxshab, ekranni almashish uchun berilgan ruxsatlar va videokonferentsiya kengaytmalari oʻz vazifalarini bajarish uchun foydalanuvchining ekrani va audiosini yozib olish uchun ham notoʻgʻri ishlatilishi mumkin.
"So'nggi bir necha oy ichida uBlock Origin-da ikkita zaiflik topildi, bu tajovuzkorlarga kengaytma ruxsatidan foydalanib, barcha saytlardagi ma'lumotlarni o'qish va o'zgartirish hamda maxfiy foydalanuvchi ma'lumotlarini o'g'irlash imkonini berdi ", dedi Bobrov.
UBlock Origin kabi reklama blokerlari juda mashhur va odatda foydalanuvchi tashrif buyuradigan har bir sahifaga kirish huquqiga ega. Ularning orqasida ular hamjamiyat tomonidan taqdim etilgan filtr roʻyxatlari – qaysi elementlarni bloklashni koʻrsatuvchi CSS selektorlari orqali quvvatlanadi. Ular Roʻyxatlarga toʻliq ishonib boʻlmaydi, shuning uchun ular zararli qoidalar foydalanuvchi maʼlumotlarini oʻgʻirlashning oldini olish uchun cheklangan”, - deb yozgan xavfsizlik boʻyicha tadqiqotchi Garet Xeys kengaytmadagi zaifliklardan parollarni oʻgʻirlash uchun foydalanishini namoyish qilib.
Bobrov shuningdek, 2019-yilda ikki milliondan ortiq foydalanuvchiga ega boʻlgan mashhur The Great Suspender kengaytmasini yomon niyatli aktyor sotib olgani va u oʻz ruxsatlaridan foydalanib koʻrib chiqilmagan, masofadan joylashtirilgan kodni ishga tushirish uchun skriptlarni kiritishga kirishganini aytdi. veb-sahifalarda.
"Qaysi ma'lumotlar o'chirilgani noma'lum," dedi u, "lekin u istalgan sahifadagi hamma narsani, jumladan, parollarni ham o'g'irlashi mumkin."
Haqiqiy yechim yo'q
Bobrovning taʼkidlashicha, Chrome va deyarli barcha yetakchi veb-brauzerlar kengaytmalardan kelib chiqadigan xavfsizlik xavfini nafaqat tekshirish jarayonini yaxshilash, balki kengaytmalarning ayrim imkoniyatlarini cheklash orqali ham oʻz ichiga olishi uchun harakat qilmoqda.
Bobrov ta'kidlagan shunday so'nggi qadamlardan biri bu Google Manifest V3. Uning so'zlariga ko'ra, oddiy foydalanuvchi uchun Manifest V3 kengaytmalarga olib keladigan eng sezilarli farq bu masofadan joylashtirilgan kodni to'liq taqiqlash va kengaytmalar veb-so'rovlarni o'zgartirish usulini o'zgartirishdir. Biroq, uning qo‘shimcha qilishicha, salbiy tomoni shundaki, Manifest V3 reklama blokerlariga jiddiy to‘sqinlik qilgani uchun tanqid qilingan.
"Eng muhim tendentsiyalar bu xavfsizlik bo'shliqlarini yopish, oxirgi foydalanuvchining ko'rinishi va nazoratini oshirish (masalan, qaysi saytlar kengaytmalarni ishga tushirishga ruxsat beradi) va kengaytmalardan ko'rib chiqilmaydigan kodni taqiqlash ", dedi Bobrov. "Ushbu o'zgarishlarning ba'zilari Google'ning Manifest V3 versiyasida mavjud. Biroq, bu o'zgarishlarning hech biri kengaytmalar uchun mavjud ruxsatlarni keskin o'zgartirmaydi."