Zabezpieczanie cyfrowego śladu przed ukrytymi zagrożeniami ze strony zaufanych rozszerzeń

Pamiętam audyt śledczy, który przeprowadziłem dwa lata temu dla firmy świadczącej usługi finansowe, która padła ofiarą uporczywego przejęcia sesji. Przez wiele dni szukaliśmy zaawansowanych, trwałych zagrożeń i wyrafinowanego złośliwego oprogramowania. W końcu znaleźliśmy winowajcę: rozszerzenie z widżetem pogodowym, które zainstalował młodszy analityk, aby śledzić temperaturę w Londynie. Rozszerzenie było legalne przez trzy lata, zanim nowy właściciel wprowadził cichą aktualizację, która wykradała dane z plików cookie. Dlatego ostatnie ustalenia badaczy z firmy Island, Olega Zaytseva i Shachara Gritzmana, dotyczące rozszerzenia Adblock for YouTube, wydają się tak znajome. Rozszerzenie to ma ponad 10 milionów instalacji i posiada odznakę „Polecane” w Chrome Web Store. Dla przeciętnego użytkownika wygląda na wiarygodne narzędzie. Jednak leżąca u jego podstaw architektura opowiada inną historię o potencjalnej eksploatacji.

Kruche zaufanie do odznaki Chrome Web Store

Użytkownicy często postrzegają Chrome Web Store jako wyselekcjonowane sanktuarium, w którym Google sprawdza każdą linię kodu. Odznaka „Polecane” działa jak cyfrowa pieczęć zatwierdzenia, która zachęca miliony ludzi do przyznawania szerokich uprawnień zewnętrznym deweloperom. To rozszerzenie, zidentyfikowane pod identyfikatorem cmedhionkhpnakcndndgjdbohmhepckk, jest dostępne od 2014 roku. Działa dokładnie tak, jak reklamowano, usuwając reklamy z filmów na YouTube i zewnętrznych osadzeń. To oczekiwane zachowanie stanowi idealną przykrywkę dla uśpionych możliwości, które pozostają niewidoczne dla przypadkowego obserwatora.

Z perspektywy ryzyka, obecność odznaki „Polecane” nie gwarantuje długoterminowego bezpieczeństwa. Proces weryfikacji w momencie zgłoszenia jest jedynie migawką w czasie. Nie uwzględnia on sposobu, w jaki rozszerzenie komunikuje się ze swoim serwerem dowodzenia i kontroli po instalacji. Architektura nowoczesnych dodatków do przeglądarek pozwala na dynamiczne zmiany konfiguracji, które modyfikują zachowanie kodu bez konieczności aktualizacji do nowej wersji. Tworzy to lukę między tym, co sprawdził sklep, a tym, co użytkownik faktycznie uruchamia w swojej przeglądarce.

Anatomia uśpionej ścieżki zdalnego wykonywania kodu

Raport firmy Island skupia się na konkretnej regule skryptu o nazwie trusted-create-element. Jest to niestandardowy mechanizm zdefiniowany przez autora rozszerzenia. Pozwala on rozszerzeniu na tworzenie nowych elementów skryptu na dowolnej stronie internetowej odwiedzanej przez użytkownika. W standardowym modelu bezpieczeństwa jest to odpowiednik pracownika technicznego posiadającego klucz uniwersalny do każdego pokoju w budynku. Pracownik ma jedynie naprawiać rury, ale klucz daje mu możliwość otwarcia każdego znalezionego sejfu.

W momencie analizy funkcja ta była uśpiona. Konfiguracja po stronie serwera nie wyzwalała wstrzykiwania złośliwych skryptów. Jest to dyskretne podejście do utrzymania przyczółka w milionach przeglądarek. Aktywacja tej możliwości wymaga jednej zmiany na serwerze dewelopera. Nie ma potrzeby przeglądu w sklepie ani aktualizacji rozszerzenia. Nie ma żadnego widocznego znaku dla użytkownika, że rozszerzenie nagle stało się zdolne do odczytywania jego prywatnych wiadomości lub kradzieży danych logowania. Ta funkcja to naładowany pistolet leżący w szufladzie biurka. Nie wystrzelił, ale niebezpieczeństwo pozostaje stałe.

Dlaczego proste sprawdzenie adresu URL nie chroni użytkowników

Twórcy Adblock for YouTube dołączyli mechanizm sprawdzający, który miał ograniczyć jego aktywność do odpowiednich witryn. Rozszerzenie powinno aktywować funkcje blokowania reklam tylko wtedy, gdy adres URL zawiera youtube.com. Solidna implementacja zabezpieczeń weryfikowałaby nazwę hosta lub pochodzenie ramki, aby upewnić się, że kod działa tylko w zamierzonej domenie. To rozszerzenie używa prostego dopasowania ciągu znaków, które szuka sekwencji znaków w dowolnym miejscu adresu URL.

Jest to fundamentalny błąd architektoniczny. Użytkownik odwiedza stronę banku pod adresem bank.example.com. Jeśli napastnik lub złośliwa konfiguracja dopisze parametr zapytania, taki jak ?ref=youtube.com na końcu tego adresu URL, rozszerzenie się aktywuje. Warunek jest spełniony, ponieważ ciąg znaków istnieje w ścieżce. Rozszerzenie ma teraz uprawnienia do manipulowania stroną, wstrzykiwania skryptów i odczytywania wrażliwych danych na portalu bankowym. To obejście jest banalne dla każdego, kto rozumie podstawowe struktury URL. Sprawia ono, że ochrona specyficzna dla witryny staje się całkowicie nieskuteczna.

Śledzenie historii wstrzykiwania reklam i zmian własności

Rodowód oprogramowania jest równie ważny jak jego aktualny kod. Adblock for YouTube zaczął jako prosty projekt w 2014 roku, ale zmienił właściciela w 2018 roku. Jest to powszechny wzorzec w ekosystemie rozszerzeń. Mali deweloperzy sprzedają swoje popularne narzędzia firmom, które chcą zarabiać na dużej bazie instalacji. Ci nowi właściciele czasami wprowadzają agresywne zestawy SDK do zbierania danych lub wstrzykiwania reklam, aby odzyskać zainwestowane środki.

Badacze z Island odkryli, że wcześniejsze wersje tego rozszerzenia korzystały z narzędzia do wstrzykiwania reklam o nazwie Unistream SDK. Deweloperzy usunęli to SDK w czerwcu 2024 roku, ale zdalnie sterowane ścieżki wstrzykiwania skryptów są obecne od lutego 2025 roku. Ta historia eksperymentowania z wstrzykiwaniem reklam sugeruje zmianę priorytetów z prywatności użytkownika na monetyzację. Rozszerzenie jest również powiązane z kilkoma innymi blokerami reklam, takimi jak Adblock for Chrome i Adblock Suite, które Google wcześniej usunęło z powodu zawartości złośliwego oprogramowania. Gdy wiele produktów z tego samego rodowodu wykazuje oznaki złych zamiarów, poziom ryzyka zmienia się z teoretycznego na prawdopodobny.

Systemowy problem z szerokimi uprawnieniami rozszerzeń

Blokery reklam wymagają rozległych uprawnień do działania. Muszą widzieć każde żądanie sieciowe, aby blokować skrypty śledzące i modyfikować Model Obiektowy Dokumentu (DOM), aby ukryć elementy reklamowe. Jest to poziom dostępu krytyczny dla bezpieczeństwa. Większość użytkowników klika „Zezwól” bez zastanowienia się nad konsekwencjami posiadania przez dodatek do przeglądarki uprawnień do odczytu i zmiany wszystkich danych na wszystkich stronach internetowych. To architektoniczny paradoks nowoczesnego bezpieczeństwa sieciowego. Instalujemy narzędzia, aby poprawić naszą prywatność, ale narzędzia te wymagają od nas zrzeczenia się całkowitej kontroli nad sesją przeglądarki.

Patrząc na krajobraz zagrożeń, rozszerzenia przeglądarkowe są idealnym koniem trojańskim. Znajdują się wewnątrz obwodu bezpieczeństwa przeglądarki. Omijają tradycyjne zapory sieciowe, ponieważ ich ruch wygląda jak standardowe żądania HTTPS z zaufanej aplikacji. Jeśli rozszerzenie zostanie naruszone, napastnik działa jako użytkownik. Może wykonywać czynności w aplikacjach roboczych, uzyskiwać dostęp do paneli administracyjnych i czytać zaszyfrowane wiadomości e-mail po ich odszyfrowaniu w oknie przeglądarki. Przeglądarka jest głównym systemem operacyjnym dla nowoczesnego pracownika, a rozszerzenia są najbardziej podatnymi na ataki sterownikami w tym systemie.

Praktyczne kroki w celu audytu bezpieczeństwa przeglądarki

Każde rozszerzenie przeglądarki należy traktować jako potencjalną lukę w zabezpieczeniach. Nawet narzędzia z milionami użytkowników mogą zostać wykorzystane do kradzieży danych. Proaktywne podejście do zarządzania rozszerzeniami jest niezbędne dla zachowania integralności danych. Należy zacząć od przeprowadzenia szczegółowego audytu każdego dodatku zainstalowanego obecnie w przeglądarce. Jeśli nie używałeś rozszerzenia w ciągu ostatnich trzydziestu dni, powinieneś je natychmiast usunąć. Każde zainstalowane rozszerzenie zwiększa powierzchnię ataku.

Dla liderów biznesowych rozwiązaniem jest polityka najniższych uprawnień. Należy używać zasad grup do zarządzania rozszerzeniami w całej organizacji. Można utworzyć listę dozwolonych, zatwierdzonych rozszerzeń, które przeszły przegląd techniczny. Należy również rozważyć korzystanie z przeglądarek korporacyjnych lub warstw bezpieczeństwa, które potrafią wykrywać nieautoryzowane wstrzykiwanie skryptów w czasie rzeczywistym. Nie polegaj na Chrome Web Store w kwestii należytej staranności. Obecność odznaki „Polecane” to punkt wyjścia, a nie ostateczny wniosek. Musisz weryfikować zachowanie oprogramowania, któremu powierzasz swoje najwrażliwsze dane.

Kluczowe wskazówki dla lepszej higieny przeglądarki:

1. Co miesiąc przeprowadzaj audyt swoich rozszerzeń i usuwaj te, które nie są już potrzebne.
2. Używaj wbudowanych ustawień przeglądarki, aby ograniczyć dostęp rozszerzeń do konkretnych witryn, zamiast pozwalać na dostęp do wszystkich stron.
3. Przed instalacją sprawdź historię własności popularnych rozszerzeń.
4. Monitoruj przeglądarkę pod kątem nieoczekiwanych przekierowań lub zmian w zachowaniu wyszukiwarki.
5. Wymuszaj stosowanie listy dozwolonych rozszerzeń w środowiskach korporacyjnych, aby zapobiegać zjawisku shadow IT.

Źródła: Island Research Report by Oleg Zaytsev and Shachar Gritzman, Palo Alto Networks Unit 42, NIST Guide to Malware Incident Prevention and Handling (SP 800-83).

Zastrzeżenie: Niniejszy artykuł służy wyłącznie celom informacyjnym i edukacyjnym i nie zastępuje profesjonalnego audytu cyberbezpieczeństwa ani usługi reagowania na incydenty.