Digitaalse jalajälje turvamine usaldusväärsete laienduste varjatud riskide eest

Mäletan üht kohtuekspertiisi auditit, mille viisin läbi kaks aastat tagasi finantsteenuste ettevõttele, mis kannatas püsiva sessioonikaaperdamise (session hijacking) all. Otsisime päevi arenenud püsivaid ohte ja keerukat pahavara. Lõpuks leidsime süüdlase: ilmateate vidina laienduse, mille nooremanalüütik oli installinud, et jälgida Londoni temperatuuri. Laiendus oli kolm aastat legitiimne, enne kui uus omanik viis sisse vaikse uuenduse, mis kogus küpsiste andmeid. Seetõttu tunduvad Islandi teadlaste Oleg Zaytsevi ja Shachar Gritzmani hiljutised leiud seoses laiendusega Adblock for YouTube nii tuttavad. Laiendusel on üle 10 miljoni installi ja see kannab Chrome'i veebipoes märki "Featured" (Esiletõstetud). Tavakasutajale näib see usaldusväärse tööriistana. Selle alusarhitektuur räägib aga teistsuguse loo potentsiaalsest kuritarvitamisest.

Chrome'i veebipoe märgise habras usaldus

Kasutajad peavad Chrome'i veebipoodi sageli kureeritud pelgupaigaks, kus Google kontrollib iga koodirida. Märgis "Featured" toimib digitaalse usalduspitsatina, mis julgustab miljoneid inimesi andma kolmandate osapoolte arendajatele ulatuslikke õigusi. See laiendus, tuvastatud ID-ga cmedhionkhpnakcndndgjdbohmhepckk, on olnud saadaval alates 2014. aastast. See funktsioneerib täpselt nii, nagu reklaamitud, eemaldades reklaame YouTube'i videotest ja välistest manustest. See ootuspärane käitumine pakub täiuslikku katet uinuvatele võimekustele, mis jäävad tavavaatlejale nähtamatuks.

Riski seisukohast ei taga märgise "Featured" olemasolu pikaajalist ohutust. Kontrolliprotsess esitamise ajal on vaid hetkeseis ajas. See ei arvesta viisiga, kuidas laiendus pärast installimist oma käsu- ja kontrollserveriga (C2) suhtleb. Kaasaegsete brauserilisandite arhitektuur võimaldab dünaamilisi konfiguratsioonimuudatusi, mis muudavad koodi käitumist ilma uue versiooniuuenduse vajaduseta. See tekitab lõhe selle vahel, mida pood kontrollis ja mida kasutaja tegelikult oma brauseris jooksutab.

Uinuva kaugkäivitusraja anatoomia

Islandi raport keskendub konkreetsele skriptireeglile nimega trusted-create-element. See on laienduse autori poolt määratletud eritellimusel loodud mehhanism. See võimaldab laiendusel luua uusi skriptielemente mis tahes veebilehel, mida kasutaja külastab. Standardse turvamudeli kohaselt on see samaväärne kommunaaltöötajaga, kes kannab kaasas muukrauda hoone igasse ruumi. Töötaja peaks vaid torusid parandama, kuid võti annab talle võimaluse avada mis tahes leitud seif.

Analüüsi hetkel oli see võimekus uinuv. Serveripoolne konfiguratsioon ei käivitanud pahatahtlike skriptide süstimist. See on varjatud lähenemisviis kanda kinnitamiseks miljonites brauserites. Võimekuse aktiveerimine nõuab vaid ühte muudatust arendaja serveris. Puudub vajadus poe ülevaatuse või laienduse uuendamise järele. Kasutajale pole nähtavat märki, et laiendus on järsku võimeline lugema tema privaatsõnumeid või varastama sisselogimisandmeid. See võimekus on nagu laetud relv kirjutuslaua sahtlis. Seda ei tulistata, kuid oht on püsiv.

Miks lihtne URL-i kontroll ei suuda kasutajaid kaitsta

Adblock for YouTube'i arendajad lisasid kontrolli, mille eesmärk on piirata selle tegevust asjakohaste saitidega. Laiendus peaks oma reklaamiblokeerimise funktsioonid aktiveerima ainult siis, kui URL sisaldab youtube.com-i. Tugev turvarakendus valideeriks hostinime või raami päritolu, et tagada koodi käitamine ainult ettenähtud domeenil. See laiendus kasutab lihtsat sõne vastavust, mis otsib märgijada kõikjalt URL-ist.

See on fundamentaalne arhitektuuriline viga. Kasutaja külastab pangaveebisaiti aadressil bank.example.com. Kui ründaja või pahatahtlik konfiguratsioon lisab selle URL-i lõppu päringuparameetri nagu ?ref=youtube.com, siis laiendus aktiveerub. Kontroll on läbitud, sest sõne eksisteerib teekonnas. Laiendusel on nüüd volitus lehekülge manipuleerida, skripte süstida ja tundlikke andmeid pangaportaalis lugeda. See möödahiilimine on triviaalne kõigile, kes mõistavad URL-ide põhistruktuure. See muudab saidipõhise kaitse täiesti ebaefektiivseks.

Reklaamide süstimise ajaloo ja omanikuvahetuste jälgimine

Tarkvara põlvnemine on sama oluline kui selle praegune kood. Adblock for YouTube algas lihtsa projektina 2014. aastal, kuid vahetas omanikku 2018. aastal. See on laienduste ökosüsteemis tavaline muster. Väikearendajad müüvad oma populaarsed tööriistad ettevõtetele, kes soovivad suurt kasutajaskonda monetiseerida. Need uued omanikud lisavad mõnikord agressiivseid andmekogumis- või reklaamisüstimise SDK-sid, et oma investeeringut tagasi teenida.

Islandi teadlased leidsid, et selle laienduse varasemad versioonid kasutasid reklaamisüstimise tööriista nimega Unistream SDK. Arendajad eemaldasid selle SDK 2024. aasta juunis, kuid kaugjuhitavad skriptisüstimise rajad on olnud olemas alates 2025. aasta veebruarist. See reklaamisüstimisega eksperimenteerimise ajalugu viitab prioriteetide nihkumisele kasutajate privaatsuselt monetiseerimisele. Laiendus on seotud ka mitmete teiste reklaamiblokeerijatega, nagu Adblock for Chrome ja Adblock Suite, mille Google eemaldas varem pahavara sisaldamise tõttu. Kui mitmed samast põlvnemisliinist pärit tooted näitavad pahatahtlikke märke, muutub riskitase teoreetilisest tõenäoliseks.

Süsteemne probleem laienduste ulatuslike õigustega

Reklaamiblokeerijad vajavad toimimiseks ulatuslikke õigusi. Nad peavad nägema iga veebipäringut, et blokeerida jälitajaid ja muuta dokumendi objektimudelit (DOM) reklaamielementide peitmiseks. See on kriitilise tähtsusega juurdepääsutase. Enamik kasutajaid klõpsab "Luba", mõtlemata tagajärgedele, mida toob kaasa brauserilisandi võime lugeda ja muuta kõiki andmeid kõigil veebisaitidel. See on kaasaegse veebiturvalisuse arhitektuuriline paradoks. Me installime tööriistu oma privaatsuse parandamiseks, kuid need tööriistad nõuavad meilt täielikku kontrolli loovutamist oma brauserisessiooni üle.

Vaadates ohumaastikku, on brauserilaiendused täiuslikud Trooja hobused. Nad asuvad brauseri turvapiiri sees. Nad mööduvad traditsioonilisest võrgutulemüürist, sest nende liiklus näeb välja nagu standardne HTTPS-päring usaldusväärsest rakendusest. Kui laiendus kompromiteeritakse, tegutseb ründaja kasutajana. Nad saavad teha toiminguid töörakendustes, pääseda ligi haldispaneelidele ja lugeda krüpteeritud e-kirju pärast nende dekrüpteerimist brauseriaknas. Brauser on kaasaegse töötaja peamine operatsioonisüsteem ja laiendused on selle süsteemi kõige haavatavamad draiverid.

Praktilised sammud brauseri turvalisuse auditeerimiseks

Peaksite suhtuma igasse brauserilaiendusse kui potentsiaalsesse haavatavusse. Isegi miljonite kasutajatega tööriistu saab kohandada andmete varguseks. Andmete terviklikkuse säilitamiseks on vajalik proaktiivne lähenemine laienduste haldamisele. Alustage kõigi praegu brauserisse installitud lisandmoodulite üksikasjalikust auditist. Kui te pole laiendust viimase kolmekümne päeva jooksul kasutanud, peaksite selle kohe eemaldama. Iga installitud laiendus suurendab teie ründepinda.

Ärijuhtide jaoks on lahenduseks minimaalsete õiguste poliitika. Organisatsiooniüleseks laienduste haldamiseks tuleks kasutada grupipoliitikaid. Saate luua lubatud loendi (allow-list) heakskiidetud laiendustest, mis on läbinud tehnilise ülevaatuse. Samuti peaksite kaaluma ettevõtte brauserite või turvakihtide kasutamist, mis suudavad reaalajas tuvastada volitamata skriptisüstimist. Ärge lootke Chrome'i veebipoele oma hoolsuskohustuse täitmisel. Märgise "Featured" olemasolu on alguspunkt, mitte lõplik järeldus. Peate kontrollima selle tarkvara käitumist, mida usaldate oma kõige tundlikumate andmetega.

Peamised soovitused paremaks brauserihügieeniks:

1. Auditeerige oma laiendusi kord kuus ja eemaldage need, mis pole enam vajalikud.
2. Kasutage brauseri sisseehitatud seadeid, et piirata laienduste juurdepääsu konkreetsetele veebisaitidele, selle asemel et lubada juurdepääsu kõigile saitidele.
3. Uurige populaarsete laienduste omanikuajalugu enne installimist.
4. Jälgige oma brauserit ootamatute ümbersuunamiste või otsingumootori käitumise muutuste suhtes.
5. Rakendage ettevõtte keskkonnas brauserilaienduste lubatud loendit, et vältida varju-IT-d (shadow IT).

Allikad: Island Research Report by Oleg Zaytsev and Shachar Gritzman, Palo Alto Networks Unit 42, NIST Guide to Malware Incident Prevention and Handling (SP 800-83).

Hoiatus: See artikkel on mõeldud ainult teavitamiseks ja harimiseks ning ei asenda professionaalset küberveebiturbe auditit ega intsidentidele reageerimise teenust.