Почему не все так просто с расширениями в браузерах?

Привет. Сегодня я хочу затронуть очень важную тему. Она касается расширений, которые мы используем в браузере. Каждый из вас, как минимум, слышал о таком расширении, как Adblock. Дело в том, что каждый день появляется сотни расширений, и некоторые имеют уязвимости, ошибки, которые могут привести к утечке данных. А если, например, эта информация является очень важной? Поэтому сегодня поговорим, о том какие были кейсы со взломом в расширениях, а также почему стоит очень внимательно смотреть на расширение в браузере.

Что такое расширения для браузеров?

Расширение (Extension) — это дополнительный плагин, который подключается к браузеру, чтобы расширить функционал. Расширения доступны во всех популярных браузерах: Chrome и Chromium, Firefox, Safari, Edge, Opera и Internet Explorer.

Например, с помощью расширений можно блокировать рекламу, переводить страницы на другие языки, менять внешнее оформления браузеров, определять какие плагины установлены на сайте, а также выполнять другие дополнительные действия. Для пользователей доступно более сотни тысяч разнообразных расширений. Их легко установить и начать пользоваться. Но за этой простотой есть очень много вопросов к безопасности.

Чтобы посмотреть список установленных расширений в Chrome, необходимо перейти в Настройки/Расширения. Вот как выглядит окно Расширений для Grammarly.

Если перейти в конкретное из расширений, можно увидеть версию, размер, необходимые разрешения для работы, а также другие: разрешение использования в режиме инкогнито и открытия локальных файлов по ссылкам. Некоторые расширения имеют дополнительную возможность редактировать дополнительные параметры.

Кейсы в истории

Утечка в расширении Grammarly для Chrome

Примерно 22 млн пользовательских данных попали в руки третьим лицам. Известный ИБ эксперт Тевис Орманди обнаружил, что расширение написано плохо и имеет уязвимый функционал. Суть проблемы заключается в том, что если пользователь переходит на уязвимый сайт, то можно получить доступ к токену и по нему зайти в учетную запись на сайте Grammarly.com.

После этого, можно было получить доступ к документам, которые пользователь проверял в сервисе, а также логи, историю браузера и прочую информацию. Вот такая ошибка, была допущена в достаточно крупном сервисе, которое использует более 20 миллионов пользователей Chrome и 645 000 пользователей Firefox.

Банковский троян Desbloquear Conteúdo

Пример еще одного расширения заключается в том, что он реализует атаку по принципу “человек посредине” (Man-in-the-middle). Таким образом, получая трафик через прокси-сервер можно анализировать трафик и получать интересные данные.

Также, плагин использовал скрипты, которые позволяли перехватывать вводимые данные пользователей. При переходе на авторизационную форму, пользователь перенаправлялся на абсолютно идентичную страницу авторизации и, таким образом, данные попадали в руки владельца плагина, а только потом уже на страницу банка. Таким образом, были похищены тысячи данных пользователей, которые использовались в различных махинациях и обналичивании средств. 

В чем опасность расширений?

Мошеннические расширения

Как правило, такие расширения предлагаются пользователям на сторонних сайтах. Также бывают случаи, когда они попадают в официальные магазины расширений. Это сложно, но можно пройти проверку и опубликовать свое расширение. Возможно, сначала плагин выполняет простую функцию, а после проверки и выхода обновлений у приложения появляются вредоносные функции. 

Дело в том, что для установки и работы разрешения нужно разрешение. Такое разрешение существует только у Google Chrome, все остальные браузеры предоставляют все права для работы. Но даже такое решение Chrome не повышает безопасность. Так как большинство приложений требуют установить право «читать и изменять все ваши данные на посещаемых вами сайтах». После этого, приложения получают все необходимые функции. Если отказаться от этого разрешения, то приложения не будут нормально работать.

Перепродажа расширений

Дело в том, что достаточно много расширений имеют постоянную аудиторию. Таким образом, купив приложение и выпустив “опасное” обновление пользователи могут подвергаться атаке. Такая практика достаточно популярна. Тем более, что все обновления происходят автоматически и пользователь в большинстве случаев не замечает никаких изменений.

Дело в том, что очень часто разработчики не имеют возможности монетизировать свои плагины и привлекательные предложения о покупке смотрятся очень заманчиво. Похожая ситуация произошла с Particle. После проведения сделки, плагин, который позволял кастомизировать Ютуб, после обновления сразу начал показывать большое количество рекламы и превратился в рекламную помойку. 

Продажа данных

Есть отдельное направление, связанное с данными. Во время работы с расширением собираются различные данные о пользователях. Никто не знает, как эти данные могут потенциально использоваться. Возможно для кого-то они представляют коммерческий интерес, и возможно они будут банально проданы в будущем. Не забывай о том, что ты подтверждаешь право на чтение и редактирование всех данных на всех посещаемых сайтах. Иногда, это даже официально указано в пользовательском соглашении, что разработчики могут передавать данные в анонимном виде третьим лицам.

Опасность в том, что не всегда такие данные полностью анонимны. И часть может привести к деанонимизации пользователей. Например, какая-то компания купила такие данные и определила вашу личность. Теперь она может отправлять вам дополнительные уведомления, а также другую информацию. Хуже если, такая информация попадает в правоохранительные органы.

Такая история произошла с плагином Web of Trust, который собирал отзывы пользователей и на основе их составлял рейтинг сайтов. Также плагин собирал историю посещения сайтов. В один момент в СМИ появилась информация, что разработчики продают не полностью анонимную информацию. Сразу после этого расширение пропало из магазина Mozilla, а позже было удалено со всех остальных браузеров. Позже приложение вернулось в маркетплейсы, но уже с доработанным кодом. Но, данные об истории посещении сайтов и действиях оказались в распоряжении третьих лиц.

Как максимально обезопасить себя?

Сложно сказать, что существует решение, которое на 100% защитит вас. Разве, если отказаться от использования расширений вообще. Но, если использовать следующие рекомендации, то можно минимизировать шанс заражения:

• Не устанавливайте расширения с посторонних сайтов. В этих ситуациях лучше найти приложение в официальных магазинах.
• Следите за списком установленных приложений. Лучше оставить минимальное необходимое количество и внимательно следить за их обновлениями и разрешениями.
• Для проведения операций и работе с конфиденциальными данными лучше использовать отдельный браузер без плагинов.
• Следите за тем, чтобы приложения запрашивали необходимые разрешения в зависимости от своих функций. Если плагин требует много дополнительных прав, то лучше потенциально отказаться от установки.
• Обязательно смотрите на автора и количество установок. Перед установкой лучше проверить информацию о разработчике на внешних ресурсах, а также посмотреть отзывы других участников. Категорически не рекомендуется устанавливать расширения с минимальным количеством установок.
• Читайте политику конфиденциальности перед установкой. Это позволит понять, что предлагает расширение и какие у него функции.

Заключение

Рынок расширений, это как джунгли. Много, как хороших, так и плохих чудес. Но если ты решил попробовать что-то экзотическое, то лучше отправляться подготовленным. Для таких целей можно завести отдельный аккаунт. Перед тем, как устанавливать новое расширение обязательно подумай, нужно оно тебе или нет. Если ты не доверяешь разработчику, то лучше не рисковать. Также, всегда следите за списком установленных расширений. С каждым обновлением есть потенциальный шанс заражения. Также, стоит внимательно читать разрешения, которые запрашивают плагины. Это особенно важно, когда расширение запрашивает что-то новое после обновления. Используйте только проверенные расширения и будьте внимательны.