Onthulling van de dreiging van kwaadaardige browserextensies

Cyberbeveiliging
Onthulling van de dreiging van kwaadaardige browserextensies

Het compromitteren van de browser is een doelwit met een hoog rendement voor tegenstanders. Browserextensies, dit zijn kleine softwaremodules die aan de browser worden toegevoegd en de surfervaring kunnen verbeteren, zijn een populaire browseraanvalsvector geworden. Dit komt omdat ze algemeen worden gebruikt onder gebruikers en gemakkelijk kwaadaardig kunnen worden door acties van ontwikkelaars of aanvallen op legitieme extensies.

Recente incidenten zoals DataSpii en de Nigelthorn-malware-aanval hebben de omvang van de schade blootgelegd die kwaadaardige extensies kunnen aanrichten. In beide gevallen installeerden gebruikers onschuldig extensies die hun privacy en veiligheid in gevaar brachten. Het onderliggende probleem ligt in de machtigingen die aan extensies worden verleend. Deze machtigingen, vaak buitensporig en zonder granulariteit, stellen aanvallers in staat deze te misbruiken.

Wat kunnen organisaties doen om zichzelf te beschermen tegen de risico’s van browserextensies zonder het gebruik ervan helemaal te verbieden (een handeling die vrijwel onmogelijk af te dwingen is)?

Een nieuw rapport van LayerX, “Unveiling the Threat of Malicious Browser Extensions” (hier downloaden), biedt diepgaande inzichten in het bedreigingslandschap van kwaadaardige browserextensies en biedt aanbevelingen voor mitigatie.

Het rapport ontleedt het domein van kwaadaardige extensies, waarbij de nadruk ligt op verschillende belangrijke aspecten:

  • Soorten kwaadaardige extensies
  • Installatie – Hoe kwaadaardige extensies toegang krijgen tot de browsers van gebruikers
  • Wat zijn de indicatoren van mogelijk kwaadaardige extensies
  • De kritieke machtigingen die kunnen worden misbruikt door kwaadaardige extensies
  • De aanvalsvector van de browserextensie
  • Mitigatiemethoden

Laten we eens kijken naar enkele van de belangrijkste bevindingen uit het rapport. Het gehele rapport vindt u hier.

De 3 soorten kwaadaardige extensies

Schadelijke extensies kunnen worden onderverdeeld in drie hoofdgroepen:

1. Aanvankelijk kwaadaardige extensies – Dit zijn extensies die doelbewust zijn gemaakt door kwaadwillende actoren. Deze extensies kunnen worden geüpload naar webwinkels of worden gehost op de infrastructuur van de aanvaller.

2. Gecompromitteerde extensies – In eerste instantie legitieme extensies die rechtstreeks door kwaadwillenden worden gekocht of door de aanvaller worden gecompromitteerd en voor kwaadaardige activiteiten worden gebruikt.

3. Risicovolle extensies – Dit zijn legitieme extensies die, hoewel ze in eerste instantie niet met kwade bedoelingen zijn gemaakt, overmatige machtigingen hebben die een beveiligingsrisico kunnen vormen.

Hoe en waarom extensies in de browser worden geïnstalleerd

Schadelijke extensies kunnen de browser van een slachtoffer op verschillende manieren infiltreren, elk met zijn eigen beveiligingsoverwegingen:

1. Beheerdersinstallatie – Extensies die centraal worden gedistribueerd door netwerkbeheerders, vaak met expliciete goedkeuring van de organisatie.

De cruciale beveiligingsvraag hierbij is of deze uitbreidingen echt nodig zijn binnen het bedrijfsnetwerk en of ze veiligheidsrisico’s met zich meebrengen. Het is essentieel om de noodzaak van dergelijke uitbreidingen en hun potentiële impact op de netwerkbeveiliging zorgvuldig te evalueren.

2. Normale installatie – Extensies die gebruikers downloaden uit officiële browserwinkels door de vermelding van een extensie te bezoeken. Met deze aanpak kunnen gebruikers onafhankelijke keuzes maken over welke extensies ze willen installeren.

Hoewel dit flexibiliteit biedt, werpt deze aanpak de veiligheidsvraag op van de potentiële risico’s die verbonden zijn aan de keuzes van werknemers. Het beoordelen van de populariteit en veiligheid van deze extensies onder het personeel is van cruciaal belang om een ​​veilige browseromgeving te behouden.

3. Installatie van ontwikkelaars – Extensies geladen vanaf de lokale computers van werknemers. Omdat deze extensies afkomstig zijn van de werkstations van werknemers, omzeilen ze het gebruikelijke controleproces voor geïnstalleerde software.

Het is van cruciaal belang om de veiligheidsimplicaties te onderzoeken als werknemers uitgepakte extensiebestanden rechtstreeks vanaf hun machines kunnen laden om potentiële risico’s te voorkomen.

4. Installatie van zijbelasting – Bij deze methode worden toepassingen van derden, zoals Adobe of andere softwareleveranciers, gebruikt om extensies te installeren. Helaas is dit de minst veilige optie, omdat het gemakkelijk door kwaadwillenden kan worden misbruikt om kwaadaardige extensies te installeren zonder dat de gebruiker zich hiervan bewust is.

Het evalueren van de manier waarop deze applicaties omgaan met browsers en de toegang en machtigingen die ze verlenen aan extensies is essentieel om beveiligingsrisico’s te beperken.

LayerX heeft de volgende verdeling van installatietypen geïdentificeerd op basis van zijn gebruikersgegevens. Zoals u kunt zien, wordt het merendeel, 81% van de extensies, geïnstalleerd door gebruikers die downloaden uit officiële browserwinkels.

Indicatoren van mogelijk schadelijke extensies

Gezien de wijdverbreide populariteit van gebruikers die zelf extensies downloaden, is het belangrijk om voorzichtig te zijn en werknemers te trainen in het identificeren welke extensies potentieel schadelijk kunnen zijn. Enkele van de belangrijkste indicatoren zijn:

  • Adres en email – Een ontbrekend contactadres of e-mailadres van de ontwikkelaar in de Chrome Web Store-vermelding geeft aanleiding tot bezorgdheid over een gebrek aan aansprakelijkheid. Het is essentieel om te weten wie er achter de uitbreiding staat.
  • Laatst bijgewerkt – De frequentie van updates weerspiegelt potentiële veiligheids- en compatibiliteitsrisico’s. Verouderde extensies zijn mogelijk kwetsbaarder voor beveiligingsrisico’s en werken mogelijk niet correct met de nieuwste browserversies.
  • Privacybeleid – Het ontbreken van een privacybeleid in de webwinkellijst kan wijzen op mogelijke problemen met de manier waarop de extensie omgaat met gebruikersgegevens en privacy. Betrouwbare extensies zijn transparant over hun datapraktijken.
  • Beoordeling – Gebruikersbeoordelingen geven inzicht in de algehele kwaliteit en gebruikerstevredenheid van een extensie. Hogere beoordelingen duiden vaak op een veiligere en betrouwbaardere extensie.
  • Gebruikers beoordelen – Het aantal gebruikersbeoordelingen is ook van belang. Meer beoordelingen betekenen doorgaans een groter gebruikersbestand en een lager risico op problemen of beveiligingsproblemen.
  • Ondersteuningssite – Door de aanwezigheid van een ondersteuningssite die aan de extensie is gekoppeld in de Web Store, kunnen gebruikers hulp zoeken. Een gebrek aan ondersteuningsinformatie kan een alarmsignaal zijn.
  • Aantal gebruikers – Veelgebruikte extensies zijn over het algemeen veiliger keuzes. Een laag aantal gebruikers kan van invloed zijn op de ondersteuning en een lagere betrouwbaarheid suggereren.
  • Website – Het bestaan ​​van een officiële website die bij de extensie hoort, kan aanvullende informatie en bronnen bieden. Het ontbreken van een website kan duiden op een gebrek aan transparantie of aanvullende documentatie.
  • Niet-officiële winkels – Als een extensie niet beschikbaar is in een officiële browserwinkel (bijvoorbeeld de Chrome Web Store), kan dit een potentieel risico vormen. Officiële winkels hebben een bepaald niveau van doorlichting en veiligheidscontroles.
  • Ongewone installatietypen – Extensies die ongebruikelijke installatiemethoden gebruiken, zoals side-loading of ontwikkelaarsmodus, moeten met voorzichtigheid worden benaderd. Deze methoden kunnen beveiligingsmaatregelen omzeilen en het risico op malware vergroten.
  • Gratis promotie – Extensies die als gratis worden gepromoot op een manier die financieel niet zinvol is, zoals gepusht door betaalde advertenties, kunnen een teken zijn van verdachte activiteit. Bedenk waarom een ​​verlenging gratis wordt aangeboden en of er misschien verborgen motieven achter zitten.

Het rapport zelf bevat aanvullende informatie die elke beveiligings- of IT-professional moet lezen. Dit omvat risicovolle toestemmingen voor browserextensies waar u op moet letten, de aanvalsvector van browserextensies, risicobeperkingstechnieken en meer. Cyberbeveiliging gaat over het erkennen van, aanpassen aan en reageren op veranderende bedreigingen, en kwaadaardige browserextensies vragen vandaag de dag onze aandacht.

Wilt u het gehele rapport lezen, klik dan hier.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Agenda is ingesteld om het maken van evenementen en taken te vereenvoudigen

Bespaar nu $ 250 op de XGIMI Halo+ 1080p-projector

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]