浏览器扩展销售、更新对企业构成潜在威胁

快速阅读: 据《Cyber Scoop 独家新闻》最新报道，研究显示，浏览器扩展的隐蔽特性使其成为安全盲区。扩展可在用户不知情时被转让和更改用途，存在重定向流量等风险。企业应关注员工浏览器扩展的安全隐患。

有时，最简单的软件程序会给组织带来最复杂的安全问题。浏览器扩展能够在未提前通知的情况下被购买、出售或改作他用，这成为了组织的一个盲区——经常被忽略，也未被视为潜在威胁。

浏览器扩展安全公司Secure Annex的创始人约翰·塔克纳最近演示了他是如何快速购买并改作他用一个扩展程序，从而重定向流量的。在这次实验中，塔克纳找到了一款名为“网站屏蔽器”的扩展程序，以50美元的价格购得，并在Chrome网上应用商店以5美元的手续费将所有权转移到自己名下。

他的经历凸显了浏览器扩展用户难以（“根本不可能”，他说）察觉所有权何时发生变化。在一次采访中，塔克纳提到：“Chrome网上应用商店中的扩展列表可能显示一件事，但一旦你安装它，代码实际包含的内容以及安装包里的具体内容，就变得非常棘手。如果要判断某物是否有恶意，存在很多灰色地带。”

塔克纳获得扩展的所有权后，向Chrome网上应用商店提交了更新，并在数小时后向用户群推送了新代码。他在一篇博客文章中写道：“默认情况下，当用户的浏览器发现Chrome网上应用商店有新版本可用时，浏览器扩展会自动且静默地进行更新。只有当扩展要求新权限时，用户才会收到通知或提示。”

塔克纳对所购扩展所做的改动并无危害，但证明了他的观点。借助扩展已获批的“声明性网络请求”API权限，塔克纳将来自特定URL的流量重定向到“Rickroll”——这是理查德·阿斯利1987年经典歌曲《永不放弃》的梗。

一些浏览器扩展权限允许的功能范围过于宽泛，塔克纳说。“如果我想针对像Office 365登录页面这样的品牌进行钓鱼攻击并将其重定向到我的登录页面，所有这些都在扩展已有的权限范围内，并且已经被谷歌批准使用。”

多数浏览器扩展权限在功能与潜在隐私问题或恶意意图之间需要权衡。标签页权限让浏览器扩展能够管理标签页，但开发者还可借此截取敏感数据的截图，并将信息发送至第三方服务器。Cookie权限可以访问浏览器保存的身份验证数据。

“如果你窃取个人的浏览器数据，也许这没问题。我不知道，这是每个人自己的判断，”塔克纳说，“但在公司层面上这样做时，很多安全团队并未充分认识到这种潜在风险。”

塔克纳表示，拥有广泛权限的扩展所有者可推送代码更新，重新利用其用途以收集潜在敏感数据，并将这些信息出售给初始访问小组或瞄准特定组织的网络犯罪分子。

“一旦数据被收集并传送给第三方，你就很难追踪它的去向了，”他说。

虽然许多企业限制员工笔记本电脑的管理权限并严格控制可安装的软件清单，但他们往往忽视了浏览器里正在发生的事。这实际上让员工能随意安装任何浏览器扩展。

“安装它们真的很有吸引力，也非常容易，”塔克纳说，“一旦装好，再想卸载就很麻烦了。”

(以上内容均由Ai生成)