Key takeaways
- En majoritet av tilläggen på Chrome Web Store kräver farliga behörigheter som kan missbrukas i skadliga syften.
- Alla webbläsare försöker ta itu med problemet med egensinniga tillägg.
- Googles Manifest V3 är en sådan lösning som tar itu med vissa problem men som inte råder över de behörigheter som är tillgängliga för tilläggen.
Kommer du ihåg det där stavningskontrollerande webbläsartillägget som bad om behörighet att läsa och analysera allt du skriver? Cybersäkerhetsexperter varnar för att det finns en stor chans att vissa tillägg missbrukar ditt samtycke för att stjäla lösenorden du slår in i webbläsaren.
För att hjälpa användare att inse farorna med webbtillägg har det digitala säkerhetsföretaget Talon analyserat Chrome Web Store för att rapportera att tiotusentals tillägg har tillgång till oroande behörigheter, till exempel möjligheten att ändra data på alla besökta webbplatser, ladda ner filer, få tillgång till nedladdningsaktivitet och mer.
"Många populära tillägg utsätter användare för risker", förklarade medgrundare och CTO för Talon Cyber Security Ohad Bobrov till Lifewire via e-post. "[Även] godartade tillägg kan ha sårbarheter i sin kod eller leveranskedja och kan vara mottagliga för övertagande av illvilliga aktörer."
Wayward Extensions
Talon hävdar att tillägg erbjuder stort värde för sina användare och ger en mängd användbara funktioner till webbläsarna som annonsblockering, stavningskontroll, lösenordshantering och mer. Men för att få dessa funktioner kräver tilläggen breda behörigheter för att ändra webbläsaren, dess beteende och de besökta webbplatserna.
"Naturligtvis kan denna nivå av kontroll och åtkomst från tredjepartsaktörer utgöra betydande säkerhet och integritetshot för användarna", förklarade Talon.
Företaget tillägger att trots Googles granskningsprocess lyckas många skadliga tillägg glida igenom luckorna och i slutändan påverkar miljontals användare negativt. Analysen visade att över 60 % av alla tillägg i Chrome Web Store har behörighet att läsa eller ändra användardata och aktivitet.
Talon säger till exempel att stavnings- och grammatikkontroller begär tillåtelse att injicera skript som körs från webbsidans sammanhang för att analysera användarens text. De gör detta vanligtvis genom att inspektera inmatningsfälten eller logga användarens tangenttryckningar på annat sätt. Företaget säger att detta effektivt tillåter tilläggen att samla in och exfiltrera all information på webbsidan, inklusive lösenord och annan känslig data.
Sedan finns det annonsblockering, som utgör några av Chrome Web Stores bästa tillägg. Denna funktion innebär att element tas bort från sidan och kräver samma behörighet som stavningskontroller.
Det är okänt vilken data som exfiltrerades, men den kunde potentiellt ha stulit vad som helst från vilken sida som helst, inklusive lösenord.
På liknande sätt kan de behörigheter som ges för skärmdelning och videokonferenstillägg för att utföra sin avsedda uppgift också missbrukas för att fånga användarens skärm och ljud.
"Två sårbarheter hittades i uBlock Origin under de senaste månaderna, vilket gjorde det möjligt för angripare att utnyttja tilläggets tillåtelse att läsa och ändra data på alla webbplatser och att stjäla känslig användarinformation", berättade Bobrov för oss.
"Annonsblockerare som uBlock Origin är extremt populära och har vanligtvis tillgång till varje sida en användare besöker. Bakom kulisserna drivs de av filterlistor som tillhandahålls av communityn – CSS-väljare som bestämmer vilka element som ska blockeras. Dessa listor är inte helt pålitliga, så de är begränsade till att förhindra skadliga regler från att stjäla användardata", skrev säkerhetsforskaren Gareth Heyes när han visade att han använde sårbarheter i tillägget för att stjäla lösenord.
Bobrov berättade också att 2019 köptes den populära The Great Suspender-tillägget, som hade över två miljoner användare, av en illvillig skådespelare, som fortsatte med att utnyttja dess behörigheter för att injicera skript för att köra ogranskad, fjärrvärderad kod på webbsidor.
"Det är okänt vilken data som exfiltrerades", sa han, "men det kunde potentiellt ha stulit vad som helst från vilken sida som helst, inklusive lösenord."
Ingen riktig lösning
Bobrov säger att Chrome och praktiskt taget alla andra ledande webbläsare arbetar för att begränsa säkerhetsrisken som tillägg utgör, inte bara genom att förbättra deras granskningsprocess utan också genom att begränsa vissa av tilläggens möjligheter.
Ett sådant senaste steg Bobrov påpekar är Googles Manifest V3. Han säger att för den genomsnittliga användaren är den mest märkbara skillnaden Manifest V3 skulle medföra för tillägg ett fullständigt förbud mot fjärrvärdad kod och en förändring i sättet som tillägg modifierar webbförfrågningar. Han tillägger dock att på nackdelen har Manifest V3 kritiserats för att allvarligt hindra annonsblockerare.
"De viktigaste trenderna är att täppa till säkerhetsluckor, öka slutanvändarnas synlighet och kontroll (t.ex. vilka webbplatser som tillåter att tillägg körs) och att förbjuda ogranskbar kod från tillägg", sa Bobrov. "Några av dessa ändringar ingår i Googles Manifest V3. Ingen av dessa ändringar ändrar dock dramatiskt de behörigheter som är tillgängliga för tillägg."
