研究表明，清单V3可能会遭受安全性升级的升级铬清单仍然允许恶意扩展的安全工具努力识别危险的扩展

　　长期以来，浏览器扩展一直是用户的便捷工具，增强了生产力和简化任务。但是，它们也已成为希望利用漏洞，针对个人用户和企业的恶意行为者的主要目标。

　　尽管为提高安全性而做出了努力，但其中许多扩展已找到了在Google最新的扩展框架中利用漏洞的方法，即Sustest V3（MV3）。

　　SquareX的最新研究揭示了这些流氓扩展如何仍然可以绕过关键的安全措施，使数百万用户面临诸如数据盗窃，恶意软件和未经授权访问敏感信息之类的风险。

　　你可能喜欢

　　恶意的“多态”镀铬扩展可以模仿其他工具来欺骗受害者

　　数百万的Google Chrome用户可能会受到这些狡猾的扩展的风险

　　随着新的数据剥落技术的发现，全球数千家企业都处于风险状态 - 您需要知道的是您需要知道的

　　现在浏览器扩展构成更大的威胁

　　Google一直在Chrome中的扩展问题上挣扎。2023年6月，该公司不得不手动删除32次可剥削的扩展名，这些扩展已安装在7200万次之前。

　　Google的先前扩展框架，清单版本2（MV2）是有问题的。它通常授予扩展的过多权限，并允许在没有用户意识的情况下注入脚本，从而使攻击者更容易窃取数据，访问敏感信息并引入恶意软件。

　　作为回应，Google介绍了Sustest V3，该V3旨在通过限制权限并要求扩展名来提前声明其脚本来加强安全性。虽然预计MV3将解决MV2中存在的漏洞，但Squarex的研究表明，它在关键领域的差异不足。

　　在MV3上构建的恶意扩展仍然可以绕过安全功能，并从Google Meet和Zoom Web等协作平台中窃取实时视频流，而无需特殊权限。他们还可以将未经授权的合作者添加到私人GitHub存储库中，甚至将用户重定向到伪装成密码管理器的网页。

　　你是专业人士吗？订阅我们的新闻通讯

　　注册techradar Pro新闻通讯，以获取您的业务成功所需的所有首选，意见，功能和指导！取得成功！请与我联系我们的其他未来品牌的新闻，并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息，您同意您同意的条款和隐私政策，并年龄在16岁或超过16岁之间。

　　此外，这些恶意扩展可以通过插入欺骗用户下载恶意软件的伪造软件更新弹出窗口，以类似的方式访问浏览历史记录，cookie，书签和下载历史记录。

　　一旦安装了恶意扩展，个人和企业将无法检测到这些扩展的活动，而是使它们暴露出来。诸如端点保护，安全访问服务边缘（SASE）和安全网络网关（SWG）之类的安全解决方案无法动态地评估浏览器扩展程序的潜在风险。

　　为了应对这些挑战，Squarx开发了几种旨在改善浏览器扩展安全性的解决方案。他们的方法包括微调政策，使管理员可以根据扩展权限，更新历史记录，评论和用户评分等因素来决定要阻止或允许的扩展。

　　该解决方案可以基于政策，机器学习见解和启发式分析来阻止扩展实时扩展的网络请求。此外，SquareX正在使用其云服务器上修改的铬浏览器对Chrome扩展进行动态分析，从而更深入了解潜在有害扩展的行为。

　　Squarex的创始人兼首席执行官Vivek Ramachandran指出：“浏览器扩展是EDR/XDR的盲点，SWG无法推断出它们的存在。”

　　“这使浏览器扩展成为默默地安装和监视企业用户的非常有效且有力的技术，并且攻击者正在利用他们通过网络呼叫监视通信，代表受害者对受害者的权限，向外部当事方，偷窃饼干等地提供权限。”

　　“我们的研究证明，如果没有动态分析和企业应用严格的政策的能力，就不可能识别和阻止这些攻击。GoogleMV3虽然有良好的意图，但仍远离在设计和实施阶段实施安全性，” Ramachandran补充说。

　　您可能还喜欢

　　注意 - 浏览器更新可能是恶意软件，这是当今最好的防火软件工具的列表