Digitālā nospieduma aizsardzība pret uzticamu paplašinājumu slēptajiem riskiem

Es atceros pirms diviem gadiem veiktu kriminālistikas auditu kādam finanšu pakalpojumu uzņēmumam, kas cieta no pastāvīga sesijas nolaupīšanas incidenta. Dienām ilgi mēs meklējām progresīvus, pastāvīgus draudus un sarežģītu ļaunprogrammatūru. Galu galā mēs atradām vainīgo: laikapstākļu logrīka paplašinājumu, ko bija instalējis jaunākais analītiķis, lai sekotu līdzi temperatūrai Londonā. Paplašinājums bija leģitīms trīs gadus, pirms jauns īpašnieks ieviesa klusu atjauninājumu, kas zaga sīkfailu datus. Tāpēc Island pētnieku Oļega Zaiceva un Šahara Gricmana nesenie atklājumi par paplašinājumu Adblock for YouTube šķiet tik pazīstami. Paplašinājumam ir vairāk nekā 10 miljoni instalāciju, un tam ir "Featured" nozīmīte Chrome interneta veikalā. Vidējam lietotājam tas šķiet uzticams rīks. Tā pamatā esošā arhitektūra vēsta par citu stāstu — par potenciālu izmantošanu ļaunprātīgos nolūkos.

Chrome interneta veikala nozīmītes trauslā uzticamība

Lietotāji bieži uzskata Chrome interneta veikalu par rūpīgi pārraudzītu patvērumu, kur Google pārbauda katru koda rindiņu. "Featured" nozīmīte darbojas kā digitāls apstiprinājuma zīmogs, kas mudina miljoniem cilvēku piešķirt plašas atļaujas trešo pušu izstrādātājiem. Šis paplašinājums, kas identificēts ar ID cmedhionkhpnakcndndgjdbohmhepckk, ir pieejams kopš 2014. gada. Tas darbojas tieši tā, kā reklamēts, noņemot reklāmas no YouTube videoklipiem un ārējiem iegultajiem elementiem. Šī gaidītā uzvedība nodrošina perfektu aizsegu dusošām iespējām, kas parastam novērotājam paliek neredzamas.

No riska perspektīvas "Featured" nozīmītes esamība negarantē ilgtermiņa drošību. Pārskatīšanas process iesniegšanas brīdī ir tikai mirkļa fiksācija. Tas neņem vērā to, kā paplašinājums sazinās ar savu komandvadības serveri pēc instalēšanas. Mūsdienu pārlūkprogrammu papildinājumu arhitektūra pieļauj dinamiskas konfigurācijas izmaiņas, kas maina koda uzvedību, nepieprasot jaunu versijas atjauninājumu. Tas rada plaisu starp to, ko veikals pārbaudīja, un to, ko lietotājs faktiski palaiž savā pārlūkprogrammā.

Dusoša attālinātās izpildes ceļa anatomija

Island ziņojums koncentrējas uz konkrētu skripta noteikumu ar nosaukumu trusted-create-element. Tas ir pielāgots mehānisms, ko definējis paplašinājuma autors. Tas ļauj paplašinājumam izveidot jaunus skripta elementus jebkurā tīmekļa lapā, kuru lietotājs apmeklē. Standarta drošības modelī tas ir ekvivalents komunālo pakalpojumu darbiniekam, kuram ir universālā atslēga no katras ēkas telpas. Darbiniekam ir paredzēts tikai salabot caurules, bet atslēga dod viņam iespēju atvērt jebkuru seifu, ko viņš atrod.

Analīzes laikā šī iespēja bija dusoša. Servera puses konfigurācija neizraisīja ļaunprātīgu skriptu injicēšanu. Tā ir slepena pieeja, lai saglabātu piekļuvi miljoniem pārlūkprogrammu. Iespējas aktivizēšanai nepieciešama tikai viena izmaiņa izstrādātāja serverī. Nav nepieciešama veikala pārbaude vai paplašinājuma atjaunināšana. Lietotājam nav redzamu zīmju, ka paplašinājums pēkšņi spēj lasīt viņa privātās ziņas vai zagt pieteikšanās akreditācijas datus. Šī iespēja ir kā pielādēts ierocis, kas guļ galda atvilktnē. No tā netiek šauts, taču briesmas ir nemitīgas.

Kāpēc vienkārša URL pārbaude neaizsargā lietotājus

Adblock for YouTube izstrādātāji iekļāva pārbaudi, kuras mērķis bija ierobežot tā darbību tikai attiecīgajās vietnēs. Paplašinājumam ir jāaktivizē savas reklāmu bloķēšanas funkcijas tikai tad, ja URL satur youtube.com. Robusta drošības implementācija validētu resursdatora nosaukumu vai ietvara izcelsmi, lai nodrošinātu, ka kods darbojas tikai paredzētajā domēnā. Šis paplašinājums izmanto vienkāršu virknes atbilstību, kas meklē rakstzīmju secību jebkurā URL vietā.

Tā ir fundamentāla arhitektūras kļūda. Lietotājs apmeklē bankas vietni bank.example.com. Ja uzbrucējs vai ļaunprātīga konfigurācija šī URL beigās pievieno vaicājuma parametru, piemēram, ?ref=youtube.com, paplašinājums aktivizējas. Pārbaude ir izpildīta, jo virkne eksistē ceļā. Paplašinājumam tagad ir pilnvaras manipulēt ar lapu, injicēt skriptus un lasīt sensitīvus datus bankas portālā. Šī apiešana ir pašsaprotama ikvienam, kurš saprot pamata URL struktūras. Tā padara vietnei specifisko aizsardzību pilnīgi neefektīvu.

Reklāmu injicēšanas vēstures un īpašumtiesību maiņas izsekošana

Programmatūras izcelsme ir tikpat svarīga kā tās pašreizējais kods. Adblock for YouTube sākās kā vienkāršs projekts 2014. gadā, bet mainīja īpašnieku 2018. gadā. Tas ir izplatīts modelis paplašinājumu ekosistēmā. Mazie izstrādātāji pārdod savus populāros rīkus uzņēmumiem, kas cenšas monetizēt lielo instalāciju bāzi. Šie jaunie īpašnieki dažkārt ievieš agresīvu datu vākšanu vai reklāmu injicēšanas SDK, lai atgūtu savus ieguldījumus.

Island pētnieki atklāja, ka agrākās šī paplašinājuma versijas izmantoja reklāmu injicēšanas rīku Unistream SDK. Izstrādātāji noņēma šo SDK 2024. gada jūnijā, taču attālināti vadāmie skriptu injicēšanas ceļi ir bijuši klātesoši kopš 2025. gada februāra. Šī eksperimentēšanas vēsture ar reklāmu injicēšanu liecina par prioritāšu maiņu no lietotāju privātuma uz monetizāciju. Paplašinājums ir saistīts arī ar vairākiem citiem reklāmu bloķētājiem, piemēram, Adblock for Chrome un Adblock Suite, kurus Google iepriekš noņēma, jo tie saturēja ļaunprogrammatūru. Kad vairāki produkti no vienas un tās pašas cilmes uzrāda ļaunprātīgu nodomu pazīmes, riska līmenis mainās no teorētiska uz ticamu.

Sistēmiskā problēma ar plašām paplašinājumu atļaujām

Reklāmu bloķētājiem ir nepieciešamas plašas atļaujas, lai tie darbotos. Tiem ir jāredz katrs tīmekļa pieprasījums, lai bloķētu izsekotājus, un jāmaina dokumentu objektu modelis (DOM), lai paslēptu reklāmu elementus. Tas ir kritiski svarīgs piekļuves līmenis. Lielākā daļa lietotāju noklikšķina uz "Atļaut", neapsverot sekas tam, ka pārlūkprogrammas papildinājumam ir tiesības lasīt un mainīt visus datus visās vietnēs. Tas ir mūsdienu tīmekļa drošības arhitektūras paradokss. Mēs instalējam rīkus, lai uzlabotu savu privātumu, taču šie rīki pieprasa mums nodot pilnīgu kontroli pār mūsu pārlūkprogrammas sesiju.

Raugoties uz draudu ainavu, pārlūkprogrammu paplašinājumi ir ideāls Trojas zirgs. Tie atrodas pārlūkprogrammas drošības perimetra iekšpusē. Tie apiet tradicionālo tīkla ugunsmūri, jo to trafiks izskatās kā standarta HTTPS pieprasījumi no uzticamas lietojumprogrammas. Ja paplašinājums tiek kompromitēts, uzbrucējs darbojas kā lietotājs. Viņi var veikt darbības darba lietotnēs, piekļūt administratora paneļiem un lasīt šifrētus e-pastus, tiklīdz tie ir atšifrēti pārlūkprogrammas logā. Pārlūkprogramma ir mūsdienu darbinieka galvenā operētājsistēma, un paplašinājumi ir visneaizsargātākie draiveri šajā sistēmā.

Praktiski soļi pārlūkprogrammas drošības auditam

Jums vajadzētu izturēties pret katru pārlūkprogrammas paplašinājumu kā pret potenciālu ievainojamību. Pat rīki ar miljoniem lietotāju var tikt pielāgoti datu zādzībai. Proaktīva pieeja paplašinājumu pārvaldībai ir nepieciešama datu integritātes uzturēšanai. Jums jāsāk ar granulētu auditu katram papildinājumam, kas pašlaik ir instalēts jūsu pārlūkprogrammā. Ja neesat izmantojis paplašinājumu pēdējo trīsdesmit dienu laikā, tas nekavējoties jānoņem. Katrs instalētais paplašinājums palielina jūsu uzbrukuma virsmu.

Uzņēmumu vadītājiem risinājums ir vismazāko privilēģiju politika. Jums vajadzētu izmantot grupu politikas, lai pārvaldītu paplašinājumus visā organizācijā. Jūs varat izveidot apstiprināto paplašinājumu sarakstu, kuriem ir veikta tehniskā pārbaude. Jums vajadzētu apsvērt arī uzņēmuma līmeņa pārlūkprogrammu vai drošības slāņu izmantošanu, kas var reāllaikā noteikt neautorizētu skriptu injicēšanu. Nepaļaujieties uz to, ka Chrome interneta veikals veiks jūsu pienācīgu pārbaudi. "Featured" nozīmītes esamība ir sākumpunkts, nevis galīgais secinājums. Jums ir jāpārbauda tās programmatūras uzvedība, kurai uzticat savus sensitīvākos datus.

Galvenie ieteikumi labākai pārlūkprogrammas higiēnai:

1. Katru mēnesi veiciet paplašinājumu auditu un noņemiet tos, kas vairs nav nepieciešami.
2. Izmantojiet iebūvētos pārlūkprogrammas iestatījumus, lai ierobežotu paplašinājumu piekļuvi konkrētām vietnēm, nevis atļautu piekļuvi visām vietnēm.
3. Pirms instalēšanas izpētiet populāru paplašinājumu īpašumtiesību vēsturi.
4. Uzraugiet pārlūkprogrammu, vai nav negaidītu novirzīšanu vai izmaiņu meklētājprogrammas darbībā.
5. Ieviesiet atļauto paplašinājumu sarakstu korporatīvajā vidē, lai novērstu "ēnu IT".

Avoti: Island Research Report by Oleg Zaytsev and Shachar Gritzman, Palo Alto Networks Unit 42, NIST Guide to Malware Incident Prevention and Handling (SP 800-83).

Atruna: Šis raksts ir paredzēts tikai informatīviem un izglītojošiem nolūkiem un neaizstāj profesionālu kiberdrošības auditu vai incidentu reaģēšanas pakalpojumu.