أكتوبر 4, 2024

ملايين الشركات معرضة للخطر: SquareX تُظهر كيف تتجاوز الإضافات الضارة قيود Google MV3

By أنور

(SeaPRwire) –   سنغافورة، 03 أكتوبر 2024 —

في DEF CON 32، قدم فريق البحث عرضًا قويًا بعنوان الإضافات الخفية: فناني الهروب من MV3 حيث شاركوا نتائجهم حول كيفية تجاوز إضافات المتصفح الضارة لأحدث معيار من Google لبناء إضافات Chrome: ميزات أمان Manifest V3 (MV3)، مما يعرض ملايين المستخدمين والشركات للخطر.

أظهر فريق بحث SquareX علنًا إضافات غير شرعية مبنية على MV3. تشمل النتائج الرئيسية ما يلي:

  • يمكن للإضافات سرقة تدفقات الفيديو المباشرة، مثل تلك الموجودة على Google Meet و Zoom Web، دون الحاجة إلى أذونات خاصة.
  • يمكن للإضافات غير الشرعية العمل نيابة عن المستخدم لإضافة متعاونين إلى مستودعات GitHub الخاصة.
  • تستطيع الإضافات ربط أحداث تسجيل الدخول لإعادة توجيه المستخدمين إلى صفحة متنكرة كصفحة تسجيل الدخول لإدارة كلمات المرور.
  • يمكن للإضافات المبنية على MV3 سرقة ملفات تعريف الارتباط بالموقع، وسجل التصفح، والإشارات المرجعية، وسجل التنزيلات بسهولة، مثل نظيراتها من MV2.
  • يمكن للإضافات غير الشرعية إضافة نوافذ منبثقة إلى صفحة الويب النشطة، مثل مطالبات تحديث البرامج الوهمية، مما يدفع المستخدمين إلى تنزيل البرامج الضارة.

لطالما كانت إضافات المتصفح هدفًا للمهاجمين الخبيثين – تقدر جامعة ستانفورد أن 280 مليون إضافة Chrome ضارة تم تثبيتها في السنوات الأخيرة. كافحت Google لمعالجة هذه المشكلة، وغالبًا ما اعتمدت على الباحثين المستقلين لتحديد الإضافات الضارة. في بعض الحالات، اضطرت Google إلى إزالتها يدويًا، مثل التي تم إزالتها في يونيو الماضي. بحلول الوقت الذي تمت إزالتهم فيه، كانت هذه الإضافات قد تم تثبيتها بالفعل 75 مليون مرة.

نشأت معظم هذه المشكلات لأن معيار Chrome Extension، Manifest Version 2 (MV2)، كان مليئًا بالثغرات التي منحت الإضافات أذونات مفرطة، وسمحت بحقن البرامج النصية أثناء التنقل، غالبًا دون علم المستخدمين. سمح ذلك للمهاجمين الخبيثين باستغلال هذه الثغرات بسهولة لسرقة البيانات وحقن البرامج الضارة والوصول إلى معلومات حساسة. تم تقديم MV3 لمعالجة هذه المشكلات عن طريق تشديد الأمن، وتقليل الأذونات، وتطلب من الإضافات إعلان البرامج النصية الخاصة بها مسبقًا.

ومع ذلك، يوضح بحث SquareX أن MV3 لا يفي بالغرض في العديد من المجالات المهمة، مما يدل على كيفية استمرار المهاجمين في استغلال الأذونات الدنيا لتنفيذ نشاط ضار. يتعرض كل من المستخدمين الأفراد والشركات للخطر، حتى تحت إطار MV3 الأحدث.

حلول الأمان اليوم، مثل أمان نقطة النهاية و SASE/SSE وبوابات الويب الآمنة (SWG)، تفتقر إلى الرؤية في إضافات المتصفح المثبتة. لا توجد حاليًا أداة أو منصة ناضجة قادرة على أداة هذه الإضافات ديناميكيًا، مما يترك الشركات بدون القدرة على تقييم ما إذا كانت إضافة آمنة أم ضارة بدقة.

تلتزم SquareX بأعلى مستوى من حماية الأمن السيبراني للشركات وقد بنت ميزات مبتكرة رئيسية لحل هذه المشكلة، والتي تشمل؛

  • سياسات دقيقة لمعرفة أي الإضافات ستُسمح بها / تُحظر، وتشمل المعلمات أذونات الإضافة، وتاريخ الإنشاء، والتحديث الأخير، والمراجعة، والتقييمات، وعدد المستخدمين، وسمات المؤلف، إلخ
  • تمنع SquareX طلبات الشبكة التي ترسلها الإضافات أثناء وقت التشغيل – بناءً على السياسات، والخصائص، ورؤى التعلم الآلي
  • تجري SquareX أيضًا تجارب تحليلية ديناميكية لإضافات Chrome باستخدام متصفح Chromium مُعدل في خادمها السحابي

هذه جزء من حل SquareX الذي يتم نشره في الشركات المتوسطة والكبيرة ويمنع هذه الهجمات بشكل فعال.

، مؤسس ورئيس تنفيذي لشركة ، حذر من المخاطر المتزايدة: “الإضافات المتصفح بمثابة نقطة عمياء لـ EDR/XDR ولا يوجد لدى SWGs طريقة لاكتشاف وجودها. أدى ذلك إلى جعل إضافات المتصفح تقنية فعالة وقوية جدًا للتثبيت الصامت ومراقبة مستخدمي الشركة، ويستغلها المهاجمون لمراقبة الاتصالات عبر مكالمات الويب، والعمل نيابة عن الضحية لمنح الأذونات للأطراف الخارجية، وسرقة ملفات تعريف الارتباط وغيرها من بيانات الموقع وهكذا.” “يُثبت بحثنا أنه بدون تحليل ديناميكي والقدرة على تطبيق الشركات لسياسات صارمة، لن يكون من الممكن تحديد هذه الهجمات ومنعها. Google MV3، على الرغم من حسن نيتها، لا تزال بعيدة كل البعد عن فرض الأمن على مستوى التصميم والتطبيق”، كما قال Vivek Ramachandran.

حول SquareX
تساعد المنظمات على اكتشاف وتخفيف ومطاردة تهديدات هجمات الويب على جانب العميل التي تحدث ضد مستخدميها في الوقت الفعلي.

حل SquareX لـ Browser Detection and Response (BDR)، الذي هو الأول من نوعه في هذا المجال، يتبع نهجًا يركز على الهجمات لضمان أمان المتصفح، مما يضمن حماية مستخدمي الشركة من التهديدات المتقدمة مثل رموز الاستجابة السريعة الضارة، ومواقع الويب الاحتيالية، وبرامج ضارة قائمة على وحدات الماكرو، وإضافات ضارة وغيرها من هجمات الويب التي تشمل الملفات الضارة ومواقع الويب والبرامج النصية والشبكات المصابة.

باستخدام SquareX، يمكن للشركات أيضًا توفير الوصول الآمن للمقاولين والعاملين عن بعد إلى التطبيقات الداخلية وبرمجيات SaaS للشركات، وتحويل المتصفحات على أجهزة BYOD / غير المُدارة إلى جلسات تصفح موثوقة.

اتصل بنا

رئيس العلاقات العامة
Junice Liew
SquareX
junice@sqrx.com

يتم توفير المقال من قبل مزود محتوى خارجي. لا تقدم SeaPRwire (https://www.seaprwire.com/) أي ضمانات أو تصريحات فيما يتعلق بذلك.

القطاعات: العنوان الرئيسي، الأخبار اليومية

يوفر SeaPRwire تداول بيانات صحفية في الوقت الفعلي للشركات والمؤسسات، مع الوصول إلى أكثر من 6500 متجر إعلامي و 86000 محرر وصحفي، و3.5 مليون سطح مكتب احترافي في 90 دولة. يدعم SeaPRwire توزيع البيانات الصحفية باللغات الإنجليزية والكورية واليابانية والعربية والصينية المبسطة والصينية التقليدية والفيتنامية والتايلندية والإندونيسية والملايو والألمانية والروسية والفرنسية والإسبانية والبرتغالية ولغات أخرى.