ซื้อกลับบ้านที่สำคัญ
- ส่วนขยายส่วนใหญ่ใน Chrome เว็บสโตร์ต้องการการอนุญาตที่เป็นอันตรายซึ่งสามารถนำมาใช้ในทางที่ผิดได้
- เว็บเบราว์เซอร์ทั้งหมดพยายามแก้ไขปัญหาส่วนขยายที่เอาแต่ใจ
- Manifest V3 ของ Google เป็นโซลูชันหนึ่งที่จัดการกับปัญหาบางอย่างได้ แต่แทบจะไม่สามารถครองสิทธิ์ในส่วนขยายได้
จำได้ไหมว่าส่วนขยายเบราว์เซอร์ตรวจสอบตัวสะกดที่ขออนุญาตในการอ่านและวิเคราะห์ทุกสิ่งที่คุณพิมพ์ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เตือนว่ามีโอกาสสูงที่ส่วนขยายบางส่วนใช้ความยินยอมของคุณในทางที่ผิดเพื่อขโมยรหัสผ่านที่คุณเจาะเข้าไปในเว็บเบราว์เซอร์
เพื่อช่วยให้ผู้ใช้เข้าใจถึงอันตรายของส่วนขยายเว็บ Talon บริษัทรักษาความปลอดภัยดิจิทัลได้วิเคราะห์ Chrome เว็บสโตร์เพื่อรายงานว่าส่วนขยายนับหมื่นสามารถเข้าถึงการอนุญาตที่น่าเป็นห่วง เช่น ความสามารถในการเปลี่ยนข้อมูลในไซต์ที่เข้าชมทั้งหมด ดาวน์โหลดไฟล์ เข้าถึงกิจกรรมการดาวน์โหลด และอื่นๆ
“ส่วนขยายที่ได้รับความนิยมจำนวนมากทำให้ผู้ใช้ตกอยู่ในความเสี่ยง” ผู้ร่วมก่อตั้งและซีทีโอของ Talon Cyber Security Ohad Bobrov อธิบายให้ Lifewire ฟังทางอีเมล “[แม้แต่] ส่วนขยายที่ไม่เป็นพิษเป็นภัยก็อาจมีช่องโหว่ในโค้ดหรือซัพพลายเชน และอาจอ่อนไหวต่อการเข้ายึดครองโดยผู้มุ่งร้าย”
ส่วนขยายทางแยก
Talon โต้แย้งว่าส่วนขยายให้คุณค่าที่ยอดเยี่ยมแก่ผู้ใช้ และนำคุณสมบัติที่มีประโยชน์มากมายมาสู่เว็บเบราว์เซอร์ เช่น การบล็อกโฆษณา การตรวจตัวสะกด การจัดการรหัสผ่าน และอื่นๆ อย่างไรก็ตาม เพื่อนำฟังก์ชันการทำงานเหล่านี้มาใช้ ส่วนขยายต้องได้รับการอนุญาตอย่างกว้างๆ เพื่อแก้ไขเบราว์เซอร์ พฤติกรรมของเบราว์เซอร์ และเว็บไซต์ที่เข้าชม
“โดยธรรมชาติแล้ว ระดับการควบคุมและการเข้าถึงระดับนี้จากนักแสดงบุคคลที่สามสามารถก่อให้เกิดภัยคุกคามด้านความปลอดภัยและความเป็นส่วนตัวที่สำคัญต่อผู้ใช้ได้” Talon อธิบาย
บริษัทกล่าวเสริมว่าแม้ว่า Google จะดำเนินการตรวจสอบ แต่ส่วนขยายที่เป็นอันตรายจำนวนมากก็สามารถผ่านพ้นช่องว่างและจบลงได้ส่งผลเสียต่อผู้ใช้หลายล้านคน การวิเคราะห์พบว่ากว่า 60% ของส่วนขยายทั้งหมดบน Chrome เว็บสโตร์มีสิทธิ์ในการอ่านหรือเปลี่ยนแปลงข้อมูลและกิจกรรมของผู้ใช้
ตัวอย่างเช่น Talon กล่าวว่าตัวตรวจสอบการสะกดและไวยากรณ์ขออนุญาตแทรกสคริปต์ที่ทำงานจากบริบทของหน้าเว็บเพื่อวิเคราะห์ข้อความของผู้ใช้ โดยปกติแล้วจะทำโดยการตรวจสอบช่องป้อนข้อมูลหรือบันทึกการกดแป้นของผู้ใช้ด้วยวิธีอื่น บริษัทกล่าวว่าสิ่งนี้ช่วยให้ส่วนขยายสามารถรวบรวมและกรองข้อมูลใด ๆ บนหน้าเว็บได้อย่างมีประสิทธิภาพ รวมถึงรหัสผ่านและข้อมูลที่ละเอียดอ่อนอื่นๆ
จากนั้นก็มีการบล็อกโฆษณา ซึ่งประกอบเป็นส่วนขยายอันดับต้นๆ ของ Chrome เว็บสโตร์ ฟังก์ชันนี้เกี่ยวข้องกับการนำองค์ประกอบออกจากหน้าและต้องได้รับการอนุญาตเช่นเดียวกับเครื่องตรวจการสะกด
ไม่รู้ว่าข้อมูลใดถูกขโมยไป แต่อาจขโมยอะไรก็ได้จากทุกหน้า รวมทั้งรหัสผ่าน
ในทำนองเดียวกัน สิทธิ์อนุญาตสำหรับการแชร์หน้าจอและส่วนขยายการประชุมทางวิดีโอเพื่อทำงานตามที่ตั้งใจก็อาจถูกนำไปใช้ในทางที่ผิดเพื่อจับภาพหน้าจอและเสียงของผู้ใช้
"พบช่องโหว่สองจุดใน uBlock Origin ในช่วงไม่กี่เดือนที่ผ่านมา ซึ่งทำให้ผู้โจมตีสามารถใช้ประโยชน์จากการอนุญาตของส่วนขยายเพื่ออ่านและเปลี่ยนแปลงข้อมูลในทุกไซต์และเพื่อขโมยข้อมูลผู้ใช้ที่มีความละเอียดอ่อน" Bobrov บอกเรา
"ตัวบล็อกโฆษณาอย่าง uBlock Origin นั้นได้รับความนิยมอย่างมากและโดยทั่วไปแล้วจะสามารถเข้าถึงทุกหน้าที่ผู้ใช้เข้าชม เบื้องหลัง พวกเขากำลังขับเคลื่อนโดยรายการตัวกรองที่ชุมชนจัดเตรียม - ตัวเลือก CSS ที่กำหนดองค์ประกอบที่จะบล็อก สิ่งเหล่านี้ รายชื่อไม่น่าเชื่อถือทั้งหมด ดังนั้นจึงถูกจำกัดให้ป้องกันกฎที่เป็นอันตรายจากการขโมยข้อมูลผู้ใช้ " Gareth Heyes นักวิจัยด้านความปลอดภัยเขียนในขณะที่เขาแสดงให้เห็นถึงการใช้ช่องโหว่ในส่วนขยายเพื่อขโมยรหัสผ่าน
Bobrov ยังบอกอีกว่าในปี 2019 ส่วนขยาย The Great Suspender ที่ได้รับความนิยมซึ่งมีผู้ใช้มากกว่าสองล้านคน ถูกซื้อโดยผู้มุ่งร้าย ซึ่งยังคงใช้ประโยชน์จากการอนุญาตเพื่อฉีดสคริปต์เพื่อเรียกใช้โค้ดที่โฮสต์จากระยะไกลที่ยังไม่ได้ตรวจสอบ ในหน้าเว็บ
"ไม่รู้ว่าข้อมูลใดถูกขโมยไป" เขากล่าว "แต่มันอาจขโมยอะไรก็ได้จากทุกหน้า รวมทั้งรหัสผ่าน"
ไม่มีทางออกจริง
Bobrov กล่าวว่า Chrome และเว็บเบราว์เซอร์ชั้นนำอื่นๆ ทั้งหมดกำลังทำงานเพื่อลดความเสี่ยงด้านความปลอดภัยที่เกิดจากส่วนขยาย ไม่เพียงแต่ปรับปรุงกระบวนการตรวจสอบเท่านั้น แต่ยังจำกัดความสามารถของส่วนขยายบางอย่างด้วย
ขั้นตอนล่าสุดอย่างหนึ่งที่ Bobrov ชี้ให้เห็นคือ Manifest V3 ของ Google เขากล่าวว่าสำหรับผู้ใช้ทั่วไป ความแตกต่างที่เห็นได้ชัดเจนที่สุด Manifest V3 จะนำมาซึ่งส่วนขยายคือการห้ามใช้โค้ดที่โฮสต์จากระยะไกลโดยสมบูรณ์ และการเปลี่ยนวิธีที่ส่วนขยายแก้ไขคำขอของเว็บอย่างไรก็ตาม เขาเสริมว่าในด้านลบ Manifest V3 ถูกวิพากษ์วิจารณ์ว่าเป็นเพราะตัวบล็อกโฆษณาที่ขัดขวางอย่างรุนแรง
"แนวโน้มที่สำคัญที่สุดคือการปิดช่องว่างด้านความปลอดภัย เพิ่มการมองเห็นและการควบคุมของผู้ใช้ปลายทาง (เช่น ไซต์ใดอนุญาตให้เรียกใช้ส่วนขยาย) และห้ามโค้ดที่ไม่สามารถตรวจสอบได้จากส่วนขยาย" Bobrov กล่าว "การเปลี่ยนแปลงบางส่วนเหล่านี้รวมอยู่ใน Manifest V3 ของ Google อย่างไรก็ตาม ไม่มีการเปลี่ยนแปลงใดที่เปลี่ยนแปลงการอนุญาตสำหรับส่วนขยายได้อย่างมาก"