Millionen von Unternehmen in Gefahr: SquareX zeigt, wie bösartige Erweiterungen die MV3-Beschränkungen von Google umgehen

(SeaPRwire) –   SINGAPORE, 03. Oktober 2024 —

Auf der DEF CON 32 präsentierte das Forschungsteam eine aufschlussreiche Präsentation mit dem Titel „Sneaky Extensions: The MV3 Escape Artists“, in der es seine Erkenntnisse darüber teilte, wie bösartige Browser-Erweiterungen die neuesten Sicherheitsfunktionen von Googles Standard für den Bau von Chrome-Erweiterungen, Manifest V3 (MV3), umgehen und so Millionen von Nutzern und Unternehmen in Gefahr bringen.

Das Forschungsteam von SquareX demonstrierte öffentlich Rogue-Erweiterungen, die auf MV3 basieren. Die wichtigsten Ergebnisse sind:

• Erweiterungen können Live-Video-Streams, wie z. B. von Google Meet und Zoom Web, stehlen, ohne spezielle Berechtigungen zu benötigen.
• Die Rogue-Erweiterungen können im Namen eines Nutzers Mitarbeiter zu privaten GitHub-Repositorys hinzufügen.
• Die Erweiterungen sind in der Lage, sich in Anmeldeereignisse einzufügen, um Nutzer auf eine Seite umzuleiten, die als Anmeldeseite eines Passwortmanagers getarnt ist.
• Erweiterungen, die auf MV3 basieren, können Site-Cookies, Browserverlauf, Lesezeichen und Downloadverlauf mit Leichtigkeit stehlen, wie ihre MV2-Gegenstücke.
• Die Rogue-Erweiterungen können Pop-ups zur aktiven Webseite hinzufügen, z. B. gefälschte Software-Aktualisierungsaufforderungen, um Benutzer dazu zu verleiten, Malware herunterzuladen.

Browser-Erweiterungen sind schon lange ein Ziel für böswillige Akteure – eine Studie der Stanford University schätzt, dass in den letzten Jahren 280 Millionen bösartige Chrome-Erweiterungen installiert wurden. Google hatte Mühe, dieses Problem zu lösen, und verließ sich oft auf unabhängige Forscher, um bösartige Erweiterungen zu identifizieren. In einigen Fällen musste Google sie manuell entfernen, wie z. B. die , die im Juni letzten Jahres entfernt wurden. Bis zu ihrer Entfernung waren diese Erweiterungen bereits 75 Millionen Mal installiert worden.

Die meisten dieser Probleme entstanden, weil der Chrome-Erweiterungsstandard, Manifest Version 2 (MV2), voller Schlupflöcher war, die Erweiterungen übermäßige Berechtigungen gewährten und es erlaubten, dass Skripte ohne das Wissen der Benutzer spontan eingefügt wurden. Dies ermöglichte es böswilligen Akteuren, diese Schwachstellen leicht auszunutzen, um Daten zu stehlen, Malware einzuschleusen und auf sensible Informationen zuzugreifen. MV3 wurde eingeführt, um diese Probleme zu beheben, indem die Sicherheit erhöht, die Berechtigungen eingeschränkt und Erweiterungen verpflichtet wurden, ihre Skripte im Voraus zu deklarieren.

Die Forschung von SquareX zeigt jedoch, dass MV3 in vielen kritischen Bereichen zu kurz greift und demonstriert, wie Angreifer immer noch in der Lage sind, minimale Berechtigungen auszunutzen, um bösartige Aktivitäten durchzuführen. Sowohl Einzelpersonen als auch Unternehmen sind auch unter dem neueren MV3-Framework exponiert.

Heutige Sicherheitslösungen wie Endpoint Security, SASE/SSE und Secure Web Gateways (SWG) haben keine Sichtbarkeit auf installierte Browser-Erweiterungen. Derzeit gibt es kein ausgereiftes Tool oder keine Plattform, die diese Erweiterungen dynamisch instrumentieren kann, sodass Unternehmen nicht in der Lage sind, genau zu beurteilen, ob eine Erweiterung sicher oder bösartig ist.

SquareX engagiert sich für ein Höchstmaß an Cybersicherheits-Schutz für Unternehmen und hat wichtige innovative Funktionen entwickelt, um dieses Problem zu lösen, darunter;

• Feingranulare Richtlinien, um zu entscheiden, welche Erweiterungen zugelassen/blockiert werden sollen, und Parameter wie Erweiterungspberechtigungen, Erstellungsdatum, letztes Update, Bewertungen, Benutzerzahl, Autorenattribute usw.
• SquareX blockiert Netzwerk-Anfragen, die von Erweiterungen zur Laufzeit gesendet werden – basierend auf Richtlinien, Heuristiken und Machine-Learning-Einblicken.
• SquareX experimentiert auch mit der dynamischen Analyse von Chrome-Erweiterungen mit einem modifizierten Chromium-Browser auf seinem Cloud-Server.

Dies sind Teil der Lösung von SquareX, die bei mittleren bis großen Unternehmen eingesetzt wird und diese Angriffe effektiv blockiert.

, Gründer & CEO von , warnte vor den zunehmenden Risiken: „Browser-Erweiterungen sind ein blinder Fleck für EDR/XDR und SWGs haben keine Möglichkeit, ihre Präsenz zu erkennen. Dies hat Browser-Erweiterungen zu einer sehr effektiven und wirkungsvollen Technik gemacht, um Unternehmen nutzer heimlich zu installieren und zu überwachen, und Angreifer nutzen sie, um die Kommunikation über Webanrufe zu überwachen, im Namen des Opfers Berechtigungen an externe Parteien zu erteilen, Cookies und andere Seitendaten zu stehlen und so weiter.“ „Unsere Forschung beweist, dass es ohne dynamische Analyse und die Möglichkeit für Unternehmen, strenge Richtlinien anzuwenden, nicht möglich sein wird, diese Angriffe zu identifizieren und zu blockieren. Google MV3 ist zwar gut gemeint, aber noch lange nicht in der Lage, die Sicherheit sowohl in der Design- als auch in der Implementierungsphase durchzusetzen“, sagte Vivek Ramachandran.

Über SquareX
hilft Organisationen, Client-seitige Web-Angriffe, die in Echtzeit gegen ihre Benutzer stattfinden, zu erkennen, zu entschärfen und zu jagen.

SquareX’s branchenweit erste Browser Detection and Response (BDR)-Lösung verfolgt einen angriffsorientierten Ansatz für die Browsersicherheit und stellt sicher, dass Unternehmen nutzer vor fortgeschrittenen Bedrohungen wie bösartigen QR-Codes, Browser-in-the-Browser-Phishing, Makro-basierter Malware, bösartigen Erweiterungen und anderen Web-Angriffen geschützt sind, die bösartige Dateien, Websites, Skripte und kompromittierte Netzwerke umfassen.

Mit SquareX können Unternehmen auch Auftragnehmern und Remote-Mitarbeitern sicheren Zugriff auf interne Anwendungen, Enterprise-SaaS, gewähren und die Browser auf BYOD/nicht verwalteten Geräten in vertrauenswürdige Browsing-Sitzungen umwandeln.

Kontakt

Head of PR
Junice Liew
SquareX
junice@sqrx.com