全文共计1712字,预计阅读9分钟
背景
在12月底,黑客在发起的一系列供应链攻击中,入侵了多个不同公司开发的Chrome浏览器扩展程序。这些入侵活动可以追溯到12月中旬,其中的受害者就包括总部位于加州的Cyberhaven。
Cyberhaven是一家数据保护公司,其产品包括一款基于Chrome扩展程序开发的DLP软件。该公司向路透社确认,圣诞前夕发生了一次恶意网络攻击,攻击者通过钓鱼,利用开发者的权限上传了包含恶意程序版本的Chrome扩展。Cyberhaven称这次攻击是“一个更广泛的攻击活动的一部分,目标是针对多个公司的Chrome扩展开发者。”
不光是Cyberhaven,截至一月初,已发现有超过25个扩展被攻击,涉及到超过200万用户,许多公司也正在努力评估浏览器扩展所带来的风险。
随着攻击细节的公开,用户和组织现在需要评估自己是否暴露在此次攻击中,以及浏览器扩展普遍带来的风险。本文将帮助组织理解浏览器扩展的风险、这次攻击的影响,以及可以采取的防护措施。
为什么浏览器扩展成了网络安全的软肋?
浏览器扩展已经成为我们日常上网的一部分,很多用户用它们来检查拼写、拦截广告、做笔记等。然而,大多数用户并不知道,浏览器扩展通常会请求大量访问权限,这些权限如果被不法分子利用,就会造成严重的数据泄露问题。
常见的权限请求包括访问敏感信息,比如Cookies、身份、浏览历史、输入的文本等,这些都可能导致本地设备的数据泄露,甚至用户身份被盗。
对于企业来说尤其危险的是,很多公司并没有控制员工在工作设备上安装哪些浏览器扩展,而一旦员工的企业账号凭据被窃取,就可能导致公司层面的数据泄露或安全事故。
浏览器扩展的新威胁
虽然浏览器扩展被攻击已不是什么新鲜事儿,但这次攻击的规模和复杂性,显示了浏览器扩展带来的诸多新型威胁。
-
浏览器扩展正成为主要的攻击目标:这次攻击针对多个扩展,表明黑客已经意识到,很多扩展的访问权限非常广泛,且用户对此没有足够警觉,黑客正在利用扩展作为窃取数据的工具。 -
GenAI、生产力工具和VPN扩展尤其成为攻击目标:受到影响的扩展主要包括一些与VPN、数据处理(例如笔记、数据安全或AI扩展)相关的工具。现在还不清楚这些扩展是否特别受攻击者青睐,因为它们更流行(所以攻击的潜在用户更多),还是因为这些扩展所请求的权限恰好是黑客希望利用的。 -
Chrome Web商店的扩展程序暴露风险:这次攻击似乎是通过一场针对Chrome Web商店扩展发布者的钓鱼活动发起的。黑客通过Web商店收集了扩展发布者的资料,包括他们的电子邮件地址。虽然Chrome Web商店是最常用的扩展来源,但并不是唯一的渠道,某些企业扩展是通过其他方式直接部署的。
如何防范此类攻击?
很多用户和公司并不清楚浏览器扩展的潜在风险,但其实有很多措施可以帮助公司更好地防护:
-
审查所有正在使用的扩展:许多公司并没有全面了解员工在设备上安装的所有扩展。很多公司允许员工使用不同的浏览器,并安装各种扩展。如果公司没有全面审查所有浏览器中的扩展,就无法清楚地了解自己面临的风险。因此,首先要做的就是对所有安装的扩展进行彻底的审查。 -
对扩展程序进行分类:此次攻击集中在生产力工具、VPN和AI扩展上,这些扩展更容易受到攻击。一方面,这些扩展本身的流行性吸引了攻击者的注意;另一方面,它们授予的权限也可能被黑客利用。所以,对扩展进行分类有助于评估扩展的安全风险。 -
列出扩展的权限:了解公司安装了哪些扩展是第一步,接下来要做的就是了解这些扩展具体能做什么。你需要列出这些扩展的权限,看它们可以访问哪些敏感数据。 -
评估扩展的风险:一旦了解了扩展的权限,接下来就是评估每个扩展带来的风险。这不仅要看扩展能做什么,还要考虑其他因素,比如扩展的声誉、流行程度、发布者、安装来源等。把这些信息结合起来,你就可以为每个扩展打个风险分数。 -
应用风险驱动的安全策略:最后,结合所有这些信息,公司应该制定适应性、安全策略。这些策略可以根据扩展的权限和风险评分,定义是否阻止某些扩展,或根据具体需求制定更复杂的规则,比如屏蔽某些高风险的AI和VPN扩展。
总结
尽管浏览器扩展有效地提高了生产力,但它们也同时扩大了公司的攻击面,增加了暴露的风险。最近这次针对浏览器扩展的攻击应该引起企业的高度警觉,帮助他们更好地应对恶意和被攻破的浏览器扩展带来的风险。
请关注SecLink安全空间获取我们最新的更新
欢迎加入微信SecLink安全空间探讨安全问题!
原文始发于微信公众号(SecLink安全空间):浏览器扩展程序:供应链攻击新风险
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论