Опасные расширения браузера

Системный подход и инструменты, позволяющие компаниям обезопасить себя от вредоносных браузерных надстроек, по принципу «проверяй перед установкой»
Обеспечение безопасности браузерных расширений в корпоративной среде
Вредоносные расширения для браузеров продолжают оставаться серьезным неконтролируемым риском для отделов информационной безопасности многих компаний. Они прочно вошли в инструментарий киберпреступников: используются для похищения сеансов доступа и учетных данных, шпионажа, сокрытия другой противозаконной деятельности, мошеннических операций с рекламой и кражи криптовалюты. Крупные инциденты, связанные с такими расширениями, также не редкость.
Для злоумышленников привлекательность расширений заключается в том, что те получают в браузере широкие права доступа к данным SaaS-приложений и веб-сайтов, при этом не являясь автономными программами. Это позволяет им обходить стандартные политики и средства контроля ИБ. Задача службы информационной безопасности — бороться с этой угрозой на системной основе. Для эффективного управления надстройками в компании необходимо сочетать инструменты настройки политик со специализированными сервисами или средствами анализа расширений.
Угрозы со стороны веб-расширений и нововведения Manifest V3
Веб-расширение в браузере обладает полным доступом к содержимому веб-страниц, что позволяет злоумышленникам считывать и изменять любые данные, доступные пользователю через веб-приложение, включая финансовую и медицинскую информацию. Часто расширения получают доступ и к важным «невидимым» данным: cookies, локальному хранилищу (localStorage), настройкам прокси. Это облегчает кражу сессий. Иногда функционал расширений выходит далеко за рамки веб-страниц: они могут запрашивать доступ к геолокации, загрузкам, захвату изображения с экрана, содержимому буфера обмена и уведомлениям браузера.
В архитектуре Manifest V2, которая до недавнего времени была основной для Chrome, Edge, Opera, Vivaldi, Firefox и Safari, расширения по своим возможностям почти не отличались от полноценных приложений. Они могли постоянно исполнять фоновые скрипты, держать открытыми невидимые страницы, загружать и запускать код с произвольных сайтов в интернете. Чтобы сократить потенциальные злоупотребления (а заодно и ограничить блокировщики рекламы), Google перевела Chromium и Chrome на Manifest V3, где многие функции были изменены или заблокированы. Теперь расширения обязаны декларировать все запрашиваемые сайты, не могут выполнять динамически подгружаемый сторонний код, а вместо фоновых скриптов должны использовать кратковременные «сервисные воркеры». Хотя некоторые атаки в новой архитектуре стало проводить сложнее, злоумышленники могут адаптировать вредоносный код, сохранив основную функциональность, но пожертвовав скрытностью. Таким образом, использование в компании только браузеров и расширений, работающих исключительно с Manifest V3, облегчает мониторинг, но не решает проблему полностью.
Кроме того, V3 не затрагивает ключевую уязвимость: расширения, как правило, загружаются из официальных магазинов с легитимных доменов Google, Microsoft или Mozilla, их активность выглядит как действия самого браузера, и отделить операции, выполненные расширением, от действий пользователя вручную — довольно сложная задача.
Как возникают вредоносные расширения
На основе анализа публичных инцидентов были выделены основные сценарии появления вредоносных расширений:
• Разработчик продает легальное и популярное расширение. Новый владелец дорабатывает его для показа рекламы, шпионажа или других целей (The Great Suspender, Page Ruler).
• Учетная запись разработчика взламывается злоумышленниками, которые публикуют обновление с троянским кодом (Cyberhaven).
• Расширение изначально создано с вредоносными целями. Оно либо маскируется под полезную утилиту общего назначения (например, Save to Google Drive), либо копирует название и дизайн популярных надстроек (десятки клонов AdBlock).
• Усложненный вариант предыдущей схемы — расширение первоначально публикуется в «чистом» виде и действительно полезно, а вредоносные компоненты добавляются через недели или месяцы, когда надстройка набрала достаточную популярность (пример: ChatGPT for Google).
Во всех этих случаях расширение находится в открытом доступе в Chrome Web Store и иногда даже продвигается. Однако существует и целевой сценарий атаки, когда фишинговые страницы или сообщения убеждают жертву установить вредоносное расширение, не доступное для широкой аудитории. Централизованное распространение через Web Store и автоматические обновления Chrome и расширений означают, что часто пользователям не требуется активных действий, чтобы получить вредоносное обновление. Если какая-либо из установленных надстроек получает вредоносный апдейт, он будет установлен автоматически.
Меры защиты компании от вредоносных расширений
Существует несколько общих рекомендаций:
• Разработать и внедрить в компании политику использования браузерных расширений.
• Запретить установку надстроек, не входящих в перечень, одобренный ИБ и ИТ-отделом.
• Регулярно проводить аудит установленных расширений и их версий.
• При обновлениях надстроек отслеживать изменения в предоставленных разрешениях, а также мониторить смену владельцев и разработчиков расширений.
• Включить в программы обучения по ИБ для сотрудников информацию о рисках и правилах использования браузерных расширений.
Как проводить анализ браузерных расширений
Для реализации всех перечисленных мер компании потребуется собственная база разрешенных и запрещенных расширений. К сожалению, официальные магазины и сами браузеры не предоставляют механизмов для оценки рисков в масштабах организации и автоматического пополнения такого списка. Поэтому этот процесс и список придется создавать силами отдела ИБ. Также потребуется процедура подачи заявок на добавление расширений в белый список. Оценку бизнес-необходимости надстройки и поиск альтернатив лучше проводить совместно с ответственным представителем бизнес-подразделения, тогда как анализ рисков полностью лежит на ИБ. Нет необходимости вручную скачивать расширения и проверять их в разных магазинах — для этого существуют как инструменты с открытым кодом и бесплатные онлайн-сервисы, так и коммерческие платформы.
Оценить общий профиль риска можно с помощью бесплатных онлайн-сервисов Spin.AI и Koidex (ранее ExtensionTotal). В обоих ведется база популярных расширений, поэтому оценка обычно доступна мгновенно. В них используются языковые модели (LLM) для создания краткого текстового резюме о свойствах расширения, а также предоставляется детальный анализ: запрашиваемые разрешения, профиль автора, история версий, оценок и загрузок.
Базовые данные также можно изучить через сервис Chrome-Stats. Он ориентирован в первую очередь на разработчиков, поэтому показывает рейтинги, отзывы и другие данные из магазинов, но также позволяет напрямую скачать актуальную и предыдущие версии расширения, что упрощает расследование инцидентов.
Для углубленного анализа подозрительных или критически важных расширений можно использовать инструменты вроде CRX Viewer. Он позволяет изучать внутреннюю структуру расширения, удобно фильтруя и отображая его компоненты с акцентом на HTML- и JS-код.
По материалам Касперский