Κακόβουλες ιστοσελίδες μπορούν να εκμεταλλευτούν τα API των επεκτάσεων του προγράμματος περιήγησης (browsers) για να τρέξουν κώδικα μέσα στο πρόγραμμα περιήγησης και να κλέψουν ευαίσθητες πληροφορίες, όπως τις σελιδοδείκτες, το ιστορικό περιήγησης ή ακόμη και τα cookies των χρηστών.
Φυσικά ένας εισβολέας μπορεί με τα cookies μπορεί να καταλάβει τις ενεργές περιόδους σύνδεσης του χρήστη και να αποκτήσει πρόσβαση σε ευαίσθητους λογαριασμούς, όπως τα εισερχόμενα του ηλεκτρονικού ταχυδρομείου, τα προφίλ των κοινωνικών δικτύων ή λογαριασμούς σε τράπεζες κλπ.
Επιπλέον, τα ίδια API (μιλάμε πάντα για επεκτάσεις που χρησιμοποιούν οι browsers) επέκτασης μπορούν να χρησιμοποιηθούν για να ενεργοποιήσουν τη λήψη κακόβουλων αρχείων και για να τα αποθηκεύσουν στη συσκευή του χρήστη. Τα δεδομένα αυτά αποθηκεύονται στον αποθηκευτικό χώρο μιας επέκτασης, και μπορούν να χρησιμοποιηθούν αργότερα να την παρακολούθηση των χρηστών σε ολόκληρο τον ιστό.
Αυτά τα είδη επιθέσεων δεν είναι πια θεωρητικά, αφού αποδείχθηκαν πρόσφατα σε μια έρευνα που δημοσίευσε ο Dolière Francis Somé, ένας ερευνητής από το Université Côte d'Azur και την INRIA, το γαλλικό ερευνητικό ίδρυμα.
Η Somé ανέπτυξε ένα εργαλείο και εξέτασε πάνω από 78.000 επεκτάσεις του Chrome, του Firefox και του Opera. Κατάφερε να εντοπίσει 197 επεκτάσεις που επέτρεπαν την εμφάνιση εσωτερικών διεπαφών επικοινωνίας του API με εφαρμογές ιστού. Αυτό μπορεί να δώσει σε κακόβουλους ιστότοπους πρόσβαση στα δεδομένα που είναι αποθηκευμένα στο πρόγραμμα περιήγησης ενός χρήστη, δεδομένα που υπό κανονικές συνθήκες, δεν πρέπει να είναι προσβάσιμα.
| Chrome | Firefox | Opera | Total | |
|---|---|---|---|---|
| Extensions analyzed | 66,401 | 9,391 | 2,523 | 78,315 |
| Suspicious extensions | 3,303 | 483 | 210 | 3,996 |
| Execute code | 15 | 2 | 2 | 19 |
| Bypass SOP | 48 | 9 | 6 | 63 |
| Read cookies | 8 | – | – | 8 |
| Read browsing history | 40 | – | – | 1 |
| Read bookmarks | 37 | 1 | – | 38 |
| Get extensions installed | 33 | – | – | 33 |
| Store/retrieve data | 85 | 2 | 3 | 90 |
| Trigger downloads | 29 | 5 | 2 | 36 |
| Total of unique extensions | 171 | 16 | 10 | 197 |
Ο Γάλλος ερευνητής αναφέρει ότι έμεινε έκπληκτος από τα αποτελέσματα, καθώς μόνο 15 (δηλαδή ένα 7,61%) από τις 197 επεκτάσεις ήταν εργαλεία ανάπτυξης, μια κατηγορία επεκτάσεων που συνήθως έχουν πλήρη έλεγχο στο τι συμβαίνει σε ένα πρόγραμμα περιήγησης και είναι από τις εφαρμογές που δεν πρέπει να έχουν κενά ασφαλείας.
Περίπου το 55% όλων των επεκτάσεων είχαν λιγότερες από 1.000 εγκαταστάσεις, αλλά πάνω από 15% είχαν πάνω από 10.000.
Ο Somé ανέφερε ότι ενημέρωσε τους προγραμματιστές των προγραμμάτων περιήγησης για τα ευρήματά του πριν δημοσιεύσει την έρευνα στο κοινό, στις αρχές Ιανουαρίου.
“Όλοι αναγνώρισαν τα προβλήματα”, αναφέρει ο Somé. “Ο Firefox έχει αφαιρέσει όλες τις επεκτάσεις που τους ανέφερα. Ο Opera έχει επίσης αφαιρέσει όλες τις επεκτάσεις αλλά υπάρχουν 2 ακόμα που μπορούν να εκμεταλλευτούν για να ενεργοποιήσουν τις λήψεις”.
“Ο Chrome αναγνώρισε επίσης το πρόβλημα. Εξακολουθούμε να συζητάμε μαζί για τα πιθανά μέτρα που πρέπει να λάβουν.”
Ο ερευνητής δημιούργησε επίσης ένα εργαλείο που επιτρέπει στους χρήστες να ελέγχουν εάν οι επεκτάσεις τους περιέχουν ευπαθή API που μπορούν να εκμεταλλευτούν κακόβουλες ιστοσελίδες. Το εργαλείο είναι web-based και φιλοξενείται σε αυτή τη σελίδα.
Για να το χρησιμοποιήσετε, θα πρέπει να αντιγράψετε-επικολλήσετε το περιεχόμενο του αρχείου manifest.json της επέκτασης που σας ενδιαφέρει.
Δείτε τα βίντεο που δημοσίευσε ο ερευνητής
Αν θέλετε να διαβάσετε περισσότερα στην εργασία του Somé: EmPoWeb: Empowering Web Applications with Browser Extensions,” μπορείτε να την κατεβάσετε σαν PDF από εδώ και εδώ.
_______________________
- PDF 5 δωρεάν online υπηρεσίες επεξεργασίας
- Hacking τα πιο συχνά χρησιμοποιούμενα εργαλεία
- VLC κατεβάστε online βίντεο & μετατρέψτε τα όπως θέλετε
