287 Chrome разширения събират историята на сърфиране на над 37 милиона потребители
Разширенията за браузър като скрит слой за събиране на данни
Мащабен риск в екосистемата на браузър разширенията излезе наяве, след като независимо изследване установи 287 Chrome разширения, които събират и предават историята на сърфиране на потребителите.
Общо тези разширения имат приблизително 37,4 милиона инсталации, което значително разширява потенциалната повърхност на експозиция както в корпоративна, така и в лична среда.
Случаят не е свързан със зловреден софтуер или експлойт в класическия смисъл. Вместо това той показва по-фин, но също толкова съществен модел: разширения, които изискват широки права за достъп, събират чувствителни данни за сърфирането и ги предават на трети страни под прикритието на аналитични или продуктивни инструменти.
Какво е установено
Според изследването засегнатите разширения:
-
Изискват достъп до историята на сърфиране и URL ниво данни
-
Корелират посетените сайтове с изходящи мрежови заявки
-
Предават данни към над 30 трети страни
-
Често разкриват събирането на данни само частично в своите политики за поверителност
Разследването е използвало автоматизирана тестова среда с контролиран браузър, работещ зад man-in-the-middle инспекционен прокси. Чрез съпоставяне на синтетично генерирано сърфиране с изходящия трафик са били идентифицирани разширения, които изнасят посетени URL адреси.
За около 20 милиона от инсталациите получателят на данните не може да бъде категорично идентифициран. За останалите са установени аналитични и маркетингови компании.
Основният риск не е просто събирането на данни, а проследимостта на поведението.
Историята на сърфиране може да разкрие:
-
Бизнес партньорства
-
Проучвания за доставки
-
Сравнения на доставчици на сигурност
-
Използване на вътрешни системи
-
Регулаторни или политически интереси
-
Лични чувствителни теми
Академични изследвания показват, че моделите на сърфиране често могат да бъдат деанонимизирани чрез съпоставяне с публични данни.
Защо това е значимо на оперативно ниво
Случаят потвърждава една повтаряща се тенденция в съвременната киберсигурност.
Браузърът се превръща в граница на сигурността.
За разлика от класическите кампании със зловреден код, тези разширения:
-
Се намират в официалния Chrome Web Store
-
Не използват уязвимости
-
Работят в рамките на дадените им разрешения
-
Не се засичат от традиционните антивирусни решения
-
Не генерират типични SOC аларми
От гледна точка на сигурностните операции това създава „сляпа зона“.
Разширенията работят в контекста на потребителя. Ако разрешението е дадено, поведението технически е „оторизирано“.
Това измества фокуса от откриване на експлойт към управление на разрешенията и видимост върху потоците от данни.
Рискът за бизнеса
За организациите неконтролираните разширения носят няколко конкретни риска:
- Изтичане на данни без видимост
- Разкриване на конкурентна информация
- Потенциални регулаторни последствия по GDPR
- Третостепенен риск без оценка на доставчика
- Разширена повърхност за последващи атаки
MSP доставчиците са изправени пред допълнително предизвикателство.
В управляваните среди фокусът обикновено е върху EDR, пач мениджмънт, мрежова сигурност и идентичност. Управлението на браузър разширения рядко е част от базовата конфигурация, освен ако не е изрично наложено чрез enterprise политики.
Това означава, че множество управлявани клиенти могат да използват подобни разширения без централизирана видимост.
По-широкият контекст
Случаят следва серия от други открития, свързани с:
-
AI разширения, събиращи чат съдържание
-
VPN и ad-blocker разширения, които изнасят телеметрия
-
Разширения за разработчици, изтичащи сорс код
Моделът е ясен.
Разширенията за браузър са нискобариерен и мащабируем канал за събиране на данни.
Без експлойт.
Без уязвимост.
Само разрешения.
DIAMATIX Perspective
Този случай подчертава важна промяна в начина, по който трябва да мислим за защитата.
Сигурността не може да разчита единствено на откриване на зловреден код или мрежови пробиви.
Организациите следва да:
-
Третират браузър разширенията като софтуер с риск по веригата на доставки
-
Прилагат централизирани allowlist политики
-
Одитират разрешенията на разширенията
-
Наблюдават изходящия трафик за поведенчески аномалии
-
Включат браузър риска в вътрешните оценки на риска
За MSP доставчиците управлението на разширенията трябва да стане част от базовата сигурност на крайните точки.
Браузърът вече не е просто инструмент за продуктивност.
Той е повърхност за разузнаване.
Източници
- Независимо проучване на сигурността от „Q Continuum“ относно изтичане на данни от разширения за Chrome
- Доклад от The Register за изтичане на данни от разширения за браузър
- Академично проучване за деанонимизация на историята на сърфиране
Trusted · Innovative · Vigilant
Получавайте актуални новини и експертни анализи за киберсигурност
