Sumário Executivo
A segurança das extensões de navegador tem sido um tema amplamente debatido, especialmente quando se trata de proteger os usuários contra ameaças crescentes. Recentemente, pesquisadores da SquareX descobriram que extensões maliciosas de navegador conseguem superar as barreiras de segurança do Manifest V3, um conjunto de atualizações de segurança e privacidade implementado pelo Google no Chrome. Apesar dessas melhorias, essas extensões estão penetrando na Chrome Web Store, expondo organizações e usuários individuais a riscos graves. O estudo revela como os cibercriminosos estão utilizando esses complementos nocivos, superando os esforços do Google para garantir a segurança da plataforma.
Informações sobre a Ameaça
Durante a conferência DefCon 32, foi demonstrado como extensões maliciosas podem capturar transmissões de vídeo ao vivo de plataformas como Google Meet e Zoom sem a necessidade de permissões explícitas. Além disso, essas extensões, baseadas no Manifest V3, conseguem redirecionar usuários para páginas de phishing, adicionar colaboradores a repositórios privados no GitHub e até roubar cookies e histórico de navegação.
Embora o Manifest V3 tenha sido lançado em 2018 para resolver problemas do Manifest V2, que facilitava a criação de extensões maliciosas, ele ainda apresenta falhas. A Universidade de Stanford revelou que, entre julho de 2020 e fevereiro de 2023, 280 milhões de extensões maliciosas foram instaladas. O Manifest V3, embora tenha introduzido melhorias significativas, como políticas de segurança de conteúdo mais rigorosas e APIs mais seguras, ainda deixa brechas que podem ser exploradas por cibercriminosos.
Vivek Ramachandran, CEO da SquareX, destacou que o modelo de permissões do Manifest V3 é demasiadamente amplo, permitindo que extensões maliciosas usem permissões mínimas para realizar ataques. Um exemplo comum são as permissões de host, que permitem modificar ou ler conteúdo de páginas visitadas. A SquareX demonstrou um exemplo onde uma extensão maliciosa conseguiu capturar fluxos de vídeo do Google Meet usando apenas essa permissão.
Com mais de 250.000 extensões disponíveis na Chrome Web Store, o Google reconhece que algumas podem representar riscos de segurança. Esforços têm sido feitos para mitigar esses riscos, como a criação de ferramentas como CRXcavator e Spin.AI Risk Assessment, que permitem aos administradores avaliar e pontuar extensões com base em seu risco. Além disso, o Google tem reforçado o gerenciamento de extensões, facilitando o controle por parte dos administradores de sistemas corporativos.
Recomendações
Para mitigar os riscos associados às extensões maliciosas no Chrome, recomenda-se que empresas e organizações adotem as seguintes práticas:
Auditoria de Extensões: Realizar auditorias periódicas das extensões instaladas, removendo aquelas que não sejam mais necessárias ou que apresentem riscos de segurança.
Limitação de Permissões: Limitar as permissões concedidas às extensões para evitar que acessem informações desnecessárias ou sensíveis.
Monitoramento de Extensões: Utilizar ferramentas como CRXcavator e Spin.AI Risk Assessment para monitorar e avaliar o risco de extensões instaladas em ambientes corporativos.
Treinamento de Usuários: Capacitar usuários sobre os riscos associados às extensões de navegador e a importância de instalar apenas aquelas de fontes confiáveis e verificadas.
Políticas de Segurança: Implementar políticas de segurança para o gerenciamento de extensões, como restringir a instalação de extensões desconhecidas e exigir aprovação administrativa para novas instalações.
Conclusão
Apesar das melhorias introduzidas pelo Google com o Manifest V3, as extensões maliciosas continuam a ser uma ameaça significativa para a segurança dos usuários do Chrome. A habilidade dos cibercriminosos de explorar permissões mínimas e introduzir software prejudicial na Chrome Web Store destaca a necessidade contínua de vigilância, auditoria e políticas de segurança robustas para mitigar esses riscos. O futuro da segurança em extensões de navegador depende da evolução das tecnologias e das práticas de segurança adotadas por empresas e usuários.
Referências:
https://www.darkreading.com/cyber-risk/malicious-chrome-extensions-past-google-updated-security
留言