Drošības pētnieki ir brīdinājuši Google Chrome paplašinājumu lietotājus būt piesardzīgiem pēc tam, kad atklāta plaša datu zādzības kampaņa.
Saskaņā ar ExtensionTotal datiem līdz šim ir atklāti vismaz 36 kompromitēti Chrome paplašinājumi, kas var apdraudēt līdz pat 2,6 miljoniem lietotāju.
Pirmo reizi par šo kampaņu kļuva zināms decembra beigās, kad tika pārņemts kiberdrošības jaunuzņēmuma Cyberhaven paplašinājums, tādējādi apdraudot 400 000 lietotāju.
Saskaņā ar ExtensionTotal datiem 24. decembrī kāds Cyberhaven administrators tika apkrāpts pēc tam, kad saņēma e-pasta vēstuli. Tajā bija norādīts, ka uzņēmuma paplašinājums pārkāpj Google politiku un draud tā izņemšana no Chrome interneta veikala.
“Noklikšķinot uz e-pasta, administrators nokļuva Google piekrišanas ekrānā, kurā tika pieprasīta atļauja OAuth lietojumprogrammai ar nosaukumu Privacy Policy Extension,” skaidroja ExtensionTotal.
“Šī lietojumprogramma patiesībā bija uzbrucēja kontrolēts rīks. Piešķirot atļauju, administrators nezinot deva uzbrucējam iespēju augšupielādēt jaunas Cyberhaven Chrome paplašinājuma versijas interneta veikalā.”
Pēc tam hakeri augšupielādēja ļaunprātīgu paplašinājuma versiju, kas bija paredzēta lietotāju paroļu, sīkfailu un citas informācijas zādzībai, kas varētu ļaut uzbrucējiem pārņemt kontu. Šim ļaunprātīgajam kodam izdevās apiet Google drošības pārbaudes.
Izstrādātāji piesargieties
Drošības pakalpojumu sniedzējs SquareX apgalvo, ka paplašinājumi ir arvien populārāks veids, kā Draudu dalībnieki (threat actors) var iegūt sākotnējo piekļuvi, jo pārsvarā uzņēmumu IT komandas nekontrolē, ko instalē lietotāji. Pat ja tās to dara, tikai daži IT administratori uzrauga turpmākos atļautā paplašinājuma atjauninājumus, tā piebilda.
Turklāt lielu skaitu izstrādātāju ir viegli ietekmēt, jo viņu e-pasta adreses bieži vien ir publiski pieejamas Chrome veikalā, lai varētu ziņot par kļūdām.
SquareX dibinātājs Vivek Ramachandran apgalvoja, ka viņa uzņēmums ir pieredzējis līdzīgus uzbrukumus, kuru mērķis ir nozagt datus no tādām lietotnēm kā Google Drive un OneDrive. Viņš brīdināja, ka turpmākās kampaņās Draudu dalībnieki kļūs vēl “radošāki”.
“Identitātes uzbrukumi, kas vērsti uz pārlūkprogrammu paplašinājumiem, līdzīgi šim OAuth uzbrukumam, kļūs tikai izplatītāki, jo darbinieki darba produktivitātes nodrošināšanai izmanto arvien vairāk pārlūkprogrammu rīku,” viņš apgalvoja.
“Uzņēmumiem ir jāsaglabā modrība un jāsamazina piegādes ķēdes riski, neapdraudot darbinieku produktivitāti un nodrošinot viņus ar pareizajiem pārlūkprogrammas rīkiem.”
