在DEF CON 32,squarex提出了一个批判性的话题,偷偷摸摸的扩展:MV3逃脱艺术家,揭示恶意浏览器扩展如何逃避Google的清单V3(MV3)安全功能。这些发现对全球数百万用户和企业构成风险。
Square展示了利用MV3漏洞的流氓扩展,并具有关键启示,其中包括:
- 实时视频流盗窃:扩展可以从Google Meet&Zoom等平台中窃取视频流,而无需特殊权限。
- 未经授权的github访问:扩展可以在未经用户同意的情况下将合作者添加到私人存储库中。
- 登录事件重定向:扩展可以拦截登录事件,导致用户进入假登录页面。
- 饼干和历史盗窃:扩展仍然可以轻松访问cookie,浏览历史记录,书签和下载历史记录。
- 恶意弹出窗口:他们可以显示欺诈性软件更新,以欺骗用户下载恶意软件。
长期以来,浏览器扩展一直是恶意演员的主要目标。斯坦福大学的一项研究估计,已经安装了超过2.8亿个恶意镀铬扩展。 Google为消除危险扩展的努力,例如去年安装了7500万次的32次流氓扩展,这反映了问题的幅度。
虽然清单版本2(MV2)允许过多的权限和脚本注射,但MV3旨在加强安全性。但是,Squarex的研究证明,MV3在关键领域失败,使企业和个人用户容易受到攻击。
当前的安全解决方案(例如EDR,SASE,SSE和Secure Web Gateways(SWG))对浏览器扩展没有可见性,而没有提供评估或阻止这些威胁的手段。 Squarex具有创新功能,包括:
- 细粒度扩展政策基于权限,创建日期,用户计数和其他参数。
- 网络请求阻止扩展使用政策,启发式方法和机器学习。
- 扩展的动态分析通过Squilx云服务器中的修改后的铬浏览器。
这些功能是Square的一部分浏览器检测和响应解决方案,已经由中型企业部署,以防止这种攻击。
Vivek Ramachandran,创始人兼首席执行官squarex,突出了这个问题的严重性:
“浏览器扩展是EDR/XDR的盲点,SWG无法检测到它们的存在。攻击者利用这些脆弱性来监视沟通,代表受害者行事并窃取数据。没有动态分析和严格的政策,检测和阻止这些攻击是不可能的。虽然Google的MV3是正确的方向。
大约是squarex
Squarex使组织能够实时检测,减轻和捕捉客户端的Web攻击。他们的行业第一浏览器检测和响应(BDR)解决方案可保护企业用户免受基于高级Web的威胁,包括恶意扩展,网络钓鱼攻击和妥协的网络。 Squarex还为承包商和远程工人提供了安全的浏览会议,可在BYOD/非管理设备上访问企业应用程序。
