Hàng Triệu Doanh Nghiệp Đang Nguy Hiểm: SquareX Cho Thấy Cách Các Tiện Ích Ứng Dụng độc hại Vượt Qua Các Hạn Chế MV3 Của Google

(SeaPRwire) –   SINGAPORE, 03 tháng 10 năm 2024 —

Tại DEF CON 32, nhóm nghiên cứu đã trình bày một bài thuyết trình đầy ấn tượng có tựa đề “Sneaky Extensions: The MV3 Escape Artists” (Tiện ích ẩn: Những nghệ sĩ thoát khỏi MV3) trong đó họ chia sẻ những phát hiện về cách các tiện ích trình duyệt độc hại đang vượt qua tiêu chuẩn mới nhất của Google để xây dựng tiện ích chrome: Các tính năng bảo mật của Manifest V3 (MV3), khiến hàng triệu người dùng và doanh nghiệp gặp nguy hiểm.

Nhóm nghiên cứu của SquareX đã công khai chứng minh các tiện ích độc hại được xây dựng trên MV3. Những phát hiện chính bao gồm:

  • Tiện ích có thể đánh cắp các luồng video trực tiếp, chẳng hạn như từ Google Meet và Zoom Web, mà không cần yêu cầu quyền đặc biệt.
  • Các tiện ích độc hại có thể hoạt động thay mặt người dùng để thêm cộng tác viên vào kho lưu trữ GitHub riêng tư.
  • Các tiện ích có khả năng móc nối vào các sự kiện đăng nhập để chuyển hướng người dùng đến một trang được ngụy trang thành trang đăng nhập quản lý mật khẩu.
  • Các tiện ích được xây dựng trên MV3 có thể dễ dàng đánh cắp cookie trang web, lịch sử duyệt web, dấu trang và lịch sử tải xuống, giống như các đối tác MV2 của chúng.
  • Các tiện ích độc hại có thể thêm cửa sổ bật lên vào trang web đang hoạt động, chẳng hạn như lời nhắc cập nhật phần mềm giả mạo, lừa người dùng tải xuống phần mềm độc hại.

Tiện ích trình duyệt từ lâu đã là mục tiêu của các tác nhân độc hại – một của Đại học Stanford ước tính rằng 280 triệu tiện ích Chrome độc hại đã được cài đặt trong những năm gần đây. Google đã phải vật lộn để giải quyết vấn đề này, thường dựa vào các nhà nghiên cứu độc lập để xác định các tiện ích độc hại. Trong một số trường hợp, Google đã phải xóa bỏ thủ công, chẳng hạn như đã bị xóa vào tháng 6 năm ngoái. Vào thời điểm chúng bị xóa, các tiện ích này đã được cài đặt 75 triệu lần.

Hầu hết các vấn đề này phát sinh do tiêu chuẩn tiện ích Chrome, Manifest Version 2 (MV2), chứa đầy các lỗ hổng cho phép tiện ích có quyền truy cập quá mức và cho phép các tập lệnh được tiêm vào theo thời gian thực, thường là mà không có sự biết của người dùng. Điều này cho phép các tác nhân độc hại dễ dàng khai thác các lỗ hổng này để đánh cắp dữ liệu, tiêm phần mềm độc hại và truy cập thông tin nhạy cảm. MV3 được giới thiệu để giải quyết các vấn đề này bằng cách siết chặt bảo mật, hạn chế quyền truy cập và yêu cầu tiện ích phải khai báo các tập lệnh của chúng trước đó. 

Tuy nhiên, nghiên cứu của SquareX cho thấy MV3 thiếu sót ở nhiều lĩnh vực quan trọng, chứng minh cách những kẻ tấn công vẫn có thể khai thác quyền hạn tối thiểu để thực hiện các hoạt động độc hại. Cả người dùng cá nhân và doanh nghiệp đều bị phơi bày, ngay cả trong khuôn khổ MV3 mới hơn.

Các giải pháp bảo mật hiện nay, chẳng hạn như bảo mật điểm cuối, SASE/SSE và Cổng web an toàn (SWG), thiếu khả năng hiển thị các tiện ích trình duyệt đã cài đặt. Hiện tại không có công cụ hoặc nền tảng nào trưởng thành có khả năng điều chỉnh động các tiện ích này, khiến doanh nghiệp không thể đánh giá chính xác liệu tiện ích có an toàn hay độc hại.

SquareX cam kết mang đến mức độ bảo mật mạng cao nhất cho doanh nghiệp và đã xây dựng các tính năng sáng tạo chính để giải quyết vấn đề này, bao gồm;

  • Các chính sách tinh vi để quyết định cho phép/chặn tiện ích nào và các thông số bao gồm quyền truy cập của tiện ích, ngày tạo, cập nhật cuối cùng, đánh giá, xếp hạng, số người dùng, thuộc tính của tác giả, v.v.
  • SquareX chặn các yêu cầu mạng được gửi bởi tiện ích khi chạy – dựa trên chính sách, phép suy luận và thông tin chi tiết học máy
  • SquareX cũng đang thử nghiệm phân tích động các Tiện ích Chrome bằng cách sử dụng trình duyệt Chromium được sửa đổi trên máy chủ đám mây của mình

Đây là một phần của giải pháp của SquareX đang được triển khai tại các doanh nghiệp vừa và lớn và đang chặn hiệu quả các cuộc tấn công này.

, Founder & CEO of , cảnh báo về những rủi ro ngày càng tăng: “Tiện ích trình duyệt là điểm mù cho EDR/XDR và SWG không có cách nào để suy luận sự hiện diện của chúng. Điều này đã khiến tiện ích trình duyệt trở thành một kỹ thuật rất hiệu quả và mạnh mẽ để âm thầm cài đặt và theo dõi người dùng doanh nghiệp, và những kẻ tấn công đang tận dụng chúng để theo dõi giao tiếp qua cuộc gọi web, hành động thay mặt nạn nhân để cấp quyền cho bên thứ ba, đánh cắp cookie và dữ liệu trang web khác, v.v.” “Nghiên cứu của chúng tôi chứng minh rằng nếu không có phân tích động và khả năng áp dụng các chính sách nghiêm ngặt cho doanh nghiệp, sẽ không thể xác định và chặn các cuộc tấn công này. Google MV3, mặc dù có ý định tốt, nhưng vẫn còn lâu mới có thể thực thi bảo mật ở cả giai đoạn thiết kế và triển khai,” Vivek Ramachandran cho biết.

About SquareX
giúp các tổ chức phát hiện, giảm thiểu và săn lùng mối đe dọa các cuộc tấn công web phía máy khách đang diễn ra đối với người dùng của họ trong thời gian thực.

Giải pháp Phát hiện và Phản hồi Trình duyệt (BDR) của SquareX, áp dụng cách tiếp cận tập trung vào cuộc tấn công đối với bảo mật trình duyệt, đảm bảo người dùng doanh nghiệp được bảo vệ khỏi các mối đe dọa nâng cao như Mã QR độc hại, Lừa đảo trình duyệt trong trình duyệt, phần mềm độc hại dựa trên macro, tiện ích độc hại và các cuộc tấn công web khác bao gồm các tệp, trang web, tập lệnh độc hại và mạng bị xâm phạm.

Với SquareX, doanh nghiệp cũng có thể cung cấp cho các nhà thầu và nhân viên làm việc từ xa quyền truy cập an toàn vào các ứng dụng nội bộ, SaaS doanh nghiệp và chuyển đổi trình duyệt trên các thiết bị BYOD/không được quản lý thành các phiên duyệt web đáng tin cậy.

Contact

Head of PR
Junice Liew
SquareX
junice@sqrx.com

Bài viết được cung cấp bởi nhà cung cấp nội dung bên thứ ba. SeaPRwire (https://www.seaprwire.com/) không đưa ra bảo đảm hoặc tuyên bố liên quan đến điều đó.

Lĩnh vực: Tin nổi bật, Tin tức hàng ngày

SeaPRwire cung cấp phát hành thông cáo báo chí thời gian thực cho các công ty và tổ chức, tiếp cận hơn 6.500 cửa hàng truyền thông, 86.000 biên tập viên và nhà báo, và 3,5 triệu máy tính để bàn chuyên nghiệp tại 90 quốc gia. SeaPRwire hỗ trợ phân phối thông cáo báo chí bằng tiếng Anh, tiếng Hàn, tiếng Nhật, tiếng Ả Rập, tiếng Trung Giản thể, tiếng Trung Truyền thống, tiếng Việt, tiếng Thái, tiếng Indonesia, tiếng Mã Lai, tiếng Đức, tiếng Nga, tiếng Pháp, tiếng Tây Ban Nha, tiếng Bồ Đào Nha và các ngôn ngữ khác.