Bài học rút ra chính
- Phần lớn các tiện ích mở rộng trên Cửa hàng Chrome trực tuyến yêu cầu các quyền nguy hiểm có thể bị sử dụng sai mục đích xấu.
- Tất cả các trình duyệt web đang cố gắng giải quyết vấn đề của các tiện ích mở rộng khó hiểu.
- Google’s Manifest V3 là một trong những giải pháp khắc phục một số vấn đề nhưng không ảnh hưởng nhiều đến các quyền có sẵn cho các tiện ích mở rộng.
Hãy nhớ rằng tiện ích mở rộng trình duyệt kiểm tra chính tả đã yêu cầu quyền đọc và phân tích mọi thứ bạn nhập? Các chuyên gia an ninh mạng cảnh báo rằng có nhiều khả năng một số tiện ích mở rộng đang lợi dụng sự đồng ý của bạn để lấy cắp mật khẩu mà bạn nhập vào trình duyệt web.
Để giúp người dùng đánh giá cao sự nguy hiểm của tiện ích mở rộng web, công ty bảo mật kỹ thuật số Talon đã phân tích Cửa hàng Chrome trực tuyến để báo cáo rằng hàng chục nghìn tiện ích mở rộng có quyền truy cập vào các quyền đáng lo ngại, chẳng hạn như khả năng thay đổi dữ liệu trên tất cả các trang web đã truy cập, tải xuống tệp, truy cập hoạt động tải xuống và hơn thế nữa.
“Nhiều tiện ích mở rộng phổ biến khiến người dùng gặp rủi ro,” đồng sáng lập và CTO của Talon Cyber Security Ohad Bobrov giải thích với Lifewire qua email. “Các tiện ích mở rộng [thậm chí] lành tính có thể có lỗ hổng trong mã hoặc chuỗi cung ứng của chúng và có thể dễ bị các tác nhân độc hại tiếp quản.”
Tiện ích mở rộng
Talon lập luận rằng tiện ích mở rộng mang lại giá trị lớn cho người dùng và mang lại một loạt các tính năng hữu ích cho trình duyệt web như chặn quảng cáo, kiểm tra chính tả, quản lý mật khẩu, v.v. Tuy nhiên, để mang lại những chức năng này, các tiện ích mở rộng yêu cầu quyền rộng rãi để sửa đổi trình duyệt, hành vi của nó và các trang web đã truy cập.
“Đương nhiên, mức độ kiểm soát và quyền truy cập này từ các tác nhân bên thứ ba có thể gây ra các mối đe dọa đáng kể về bảo mật và quyền riêng tư cho người dùng,” Talon giải thích.
Công ty cho biết thêm rằng bất chấp quá trình kiểm tra của Google, nhiều tiện ích mở rộng độc hại vẫn cố gắng chui lọt lỗ hổng và cuối cùng gây ảnh hưởng xấu đến hàng triệu người dùng. Phân tích của nó cho thấy hơn 60% tất cả các tiện ích mở rộng trên Cửa hàng Chrome trực tuyến có quyền đọc hoặc thay đổi dữ liệu và hoạt động của người dùng.
Ví dụ: Talon cho biết trình kiểm tra chính tả và ngữ pháp yêu cầu quyền đưa các tập lệnh chạy từ ngữ cảnh của trang web để phân tích văn bản của người dùng. Họ thường làm điều này bằng cách kiểm tra các trường nhập hoặc ghi lại các lần gõ phím của người dùng bằng các phương tiện khác. Công ty cho biết điều này cho phép các tiện ích mở rộng thu thập và tách lọc bất kỳ thông tin nào trên trang web một cách hiệu quả, bao gồm mật khẩu và các dữ liệu nhạy cảm khác.
Sau đó là chặn quảng cáo, tạo nên một số tiện ích mở rộng hàng đầu của Cửa hàng Chrome trực tuyến. Chức năng này liên quan đến việc xóa các phần tử khỏi trang và yêu cầu các quyền tương tự như trình kiểm tra chính tả.
Không rõ dữ liệu nào đã được lấy ra, nhưng nó có thể có khả năng bị đánh cắp bất kỳ thứ gì từ bất kỳ trang nào, bao gồm cả mật khẩu.
Tương tự, các quyền được cấp cho tiện ích mở rộng chia sẻ màn hình và hội nghị truyền hình để thực hiện tác vụ dự định của chúng, cũng có thể bị lạm dụng để ghi lại màn hình và âm thanh của người dùng.
"Hai lỗ hổng đã được tìm thấy trong uBlock Origin trong vài tháng qua, cho phép những kẻ tấn công khai thác quyền của tiện ích mở rộng để đọc và thay đổi dữ liệu trên tất cả các trang web và đánh cắp thông tin nhạy cảm của người dùng", Bobrov nói với chúng tôi.
Các trình chặn quảng cáo như uBlock Origin cực kỳ phổ biến và thường có quyền truy cập vào mọi trang mà người dùng truy cập. Phía sau, chúng được hỗ trợ bởi danh sách bộ lọc do cộng đồng cung cấp - các bộ chọn CSS chỉ định các yếu tố nào cần chặn. Những Nhà nghiên cứu bảo mật Gareth Heyes đã viết khi chứng minh việc sử dụng các lỗ hổng trong tiện ích mở rộng để lấy cắp mật khẩu là không hoàn toàn đáng tin cậy.
Bobrov cũng chia sẻ rằng vào năm 2019, phần mở rộng The Great Suspender phổ biến, có hơn hai triệu người dùng, đã được mua bởi một kẻ độc hại, kẻ đã tiếp tục khai thác quyền của nó để đưa các tập lệnh chạy mã chưa được xem xét, được lưu trữ từ xa trong các trang web.
"Không biết dữ liệu nào đã được lấy ra", anh ấy nói, "nhưng nó có thể có khả năng bị đánh cắp bất kỳ thứ gì từ bất kỳ trang nào, bao gồm cả mật khẩu."
Không có giải pháp thực sự
Bobrov nói rằng Chrome và hầu như tất cả các trình duyệt web hàng đầu khác đang nỗ lực để ngăn chặn rủi ro bảo mật do các tiện ích mở rộng gây ra, không chỉ bằng cách cải thiện quy trình kiểm tra mà còn bằng cách hạn chế một số khả năng của tiện ích mở rộng.
Một bước gần đây mà Bobrov chỉ ra là Bản kê khai V3 của Google. Anh ấy nói rằng đối với người dùng bình thường, sự khác biệt đáng chú ý nhất mà Manifest V3 sẽ mang lại cho các tiện ích mở rộng là lệnh cấm hoàn toàn đối với mã được lưu trữ từ xa và sự thay đổi trong cách các tiện ích mở rộng sửa đổi các yêu cầu web. Tuy nhiên, ông nói thêm rằng mặt trái của nó, Manifest V3 đã bị chỉ trích vì cản trở nghiêm trọng các trình chặn quảng cáo.
"Các xu hướng quan trọng nhất là thu hẹp khoảng cách bảo mật, tăng khả năng hiển thị và kiểm soát của người dùng cuối (ví dụ: trang web nào cho phép tiện ích mở rộng chạy) và cấm mã không thể xem xét khỏi tiện ích mở rộng", Bobrov nói. "Một số thay đổi này được bao gồm trong Tệp kê khai V3 của Google. Tuy nhiên, không có thay đổi nào trong số này làm thay đổi đáng kể các quyền có sẵn cho tiện ích mở rộng."
