Jutaan Perusahaan Berisiko: SquareX Menunjukkan Bagaimana Ekstensi Jahat Mengakali Batasan MV3 Google

(SeaPRwire) –   SINGAPORE, 03 Oktober 2024 —

Di DEF CON 32, tim peneliti menyampaikan presentasi yang menohok berjudul Sneaky Extensions: The MV3 Escape Artists di mana mereka berbagi temuan mereka tentang bagaimana ekstensi browser berbahaya melewati standar terbaru Google untuk membangun ekstensi chrome: Fitur keamanan Manifest V3 (MV3), yang membuat jutaan pengguna dan bisnis berisiko.

Tim peneliti SquareX secara publik mendemonstrasikan ekstensi nakal yang dibangun di atas MV3. Temuan utamanya meliputi:

• Ekstensi dapat mencuri aliran video langsung, seperti yang dari Google Meet dan Zoom Web, tanpa memerlukan izin khusus.
• Ekstensi nakal dapat bertindak atas nama pengguna untuk menambahkan kolaborator ke repositori GitHub pribadi.
• Ekstensi tersebut mampu menyadap ke dalam acara login untuk mengarahkan pengguna ke halaman yang disamarkan sebagai login pengelola kata sandi.
• Ekstensi yang dibangun di atas MV3 dapat mencuri cookie situs, riwayat penjelajahan, bookmark, dan riwayat unduhan dengan mudah, seperti rekan MV2 mereka.
• Ekstensi nakal dapat menambahkan pop-up ke halaman web yang aktif, seperti permintaan pembaruan perangkat lunak palsu, yang menipu pengguna untuk mengunduh malware.

Ekstensi browser telah lama menjadi target bagi aktor jahat — sebuah penelitian dari Stanford University memperkirakan bahwa 280 juta ekstensi Chrome berbahaya telah diinstal dalam beberapa tahun terakhir. Google telah berjuang untuk mengatasi masalah ini, seringkali bergantung pada peneliti independen untuk mengidentifikasi ekstensi berbahaya. Dalam beberapa kasus, Google harus menghapusnya secara manual, seperti yang dilakukan pada bulan Juni tahun lalu. Pada saat mereka dihapus, ekstensi ini telah diinstal sebanyak 75 juta kali.

Sebagian besar masalah ini muncul karena standar ekstensi Chrome, Manifest Version 2 (MV2), penuh dengan celah yang memberikan izin berlebihan kepada ekstensi, dan memungkinkan skrip disuntikkan secara langsung, seringkali tanpa sepengetahuan pengguna. Hal ini memungkinkan aktor jahat untuk dengan mudah mengeksploitasi kerentanan ini untuk mencuri data, menyuntikkan malware, dan mengakses informasi sensitif. MV3 diperkenalkan untuk mengatasi masalah ini dengan memperketat keamanan, membatasi izin, dan mengharuskan ekstensi untuk mendeklarasikan skrip mereka terlebih dahulu. 

Namun, penelitian SquareX menunjukkan bahwa MV3 gagal dalam banyak area penting, menunjukkan bagaimana penyerang masih dapat mengeksploitasi izin minimal untuk melakukan aktivitas berbahaya. Baik pengguna individu maupun perusahaan terpapar, bahkan di bawah kerangka kerja MV3 yang lebih baru.

Solusi keamanan saat ini, seperti keamanan titik akhir, SASE/SSE, dan Secure Web Gateway (SWG), tidak memiliki visibilitas ke ekstensi browser yang terinstal. Saat ini tidak ada alat atau platform yang matang yang mampu menginstrumentasi ekstensi ini secara dinamis, membuat perusahaan tidak dapat secara akurat menilai apakah ekstensi tersebut aman atau berbahaya. 

SquareX berkomitmen untuk tingkat perlindungan keamanan siber tertinggi untuk perusahaan dan telah membangun fitur inovatif utama untuk mengatasi masalah ini, yang meliputi;

• Kebijakan yang berbutir halus untuk memutuskan ekstensi mana yang akan diizinkan/diblokir dan parameter termasuk izin ekstensi, tanggal pembuatan, pembaruan terakhir, ulasan, peringkat, jumlah pengguna, atribut penulis, dll.
• SquareX memblokir permintaan jaringan yang dikirim oleh ekstensi pada saat runtime – berdasarkan kebijakan, heuristik, dan wawasan pembelajaran mesin.
• SquareX juga bereksperimen dengan analisis dinamis Ekstensi Chrome menggunakan browser Chromium yang dimodifikasi di server cloud-nya

Ini adalah bagian dari solusi SquareX yang sedang diterapkan di perusahaan menengah-besar dan secara efektif memblokir serangan ini.

, Founder & CEO of , memperingatkan tentang risiko yang meningkat: “Ekstensi browser adalah titik buta untuk EDR/XDR dan SWG tidak memiliki cara untuk menyimpulkan keberadaan mereka. Hal ini telah membuat ekstensi browser menjadi teknik yang sangat efektif dan kuat untuk diam-diam diinstal dan memantau pengguna perusahaan, dan penyerang memanfaatkannya untuk memantau komunikasi melalui panggilan web, bertindak atas nama korban untuk memberikan izin kepada pihak eksternal, mencuri cookie dan data situs lainnya, dan seterusnya. ” “Penelitian kami membuktikan bahwa tanpa analisis dinamis dan kemampuan bagi perusahaan untuk menerapkan kebijakan yang ketat, tidak akan mungkin untuk mengidentifikasi dan memblokir serangan ini. Google MV3, meskipun bermaksud baik, masih jauh dari menegakkan keamanan baik pada tahap desain maupun implementasi,” kata Vivek Ramachandran.

About SquareX
membantu organisasi mendeteksi, mengurangi, dan berburu ancaman serangan web sisi klien yang terjadi terhadap pengguna mereka secara real time.

Solusi Browser Detection and Response (BDR) pertama di industri dari SquareX, mengambil pendekatan yang berfokus pada serangan untuk keamanan browser, memastikan pengguna perusahaan terlindungi dari ancaman tingkat lanjut seperti Kode QR berbahaya, Phishing Browser-in-the-Browser, malware berbasis makro, ekstensi berbahaya, dan serangan web lainnya yang meliputi file berbahaya, situs web, skrip, dan jaringan yang dikompromikan.

Dengan SquareX, perusahaan juga dapat memberikan akses aman kepada kontraktor dan pekerja jarak jauh ke aplikasi internal, SaaS perusahaan, dan mengubah browser pada perangkat BYOD/tidak dikelola menjadi sesi penjelajahan tepercaya.

Contact

Head of PR
Junice Liew
SquareX
junice@sqrx.com