Фон

3 червня 2024 року користувач Twitter @CryptoNakamaoПоділившись своєю досвідом втрати 1 мільйона доларів через завантаження шкідливого розширення Chrome Aggr, викликав занепокоєння серед криптогрошової спільноти про ризики розширень та власну безпеку активів. 31 травня команда SlowMist Security опублікувала аналіз під назвою «Вовк у вівчарських шкурах | Аналіз хибних розширень Chrome, які крадуть», детально описуючи шкідливі дії розширення Aggr. Оскільки користувачі майже не мають знань про розширення браузера, головний інформаційний офіцер SlowMist, 23pds, використовував формат питань та відповідей в статті, щоб пояснити основи та потенційні ризики розширень. Вони також надали рекомендації щодо зменшення ризиків у використанні розширень, метою яких є допомогти окремим користувачам та торговельним платформам підвищити безпеку своїх рахунків та активів.

(https://x.com/im23pds/status/1797528115897626708)

Питання та відповідь

1. Що таке розширення Chrome?

Розширення Chrome - це плагін, призначений для Google Chrome, яке розширює функціональність та поведінку браузера. Ці розширення можуть налаштовувати користувацький досвід перегляду, додавати нові функції або вміст та взаємодіяти з веб-сайтами. Розширення Chrome зазвичай створюються з використанням HTML, CSS, JavaScript та інших веб-технологій. Структура розширення Chrome зазвичай включає наступні компоненти:

1. manifest.json: Конфігураційний файл розширення, що визначає основну інформацію, таку як назва, версія, дозволи тощо.
2. Сценарії фону: Сценарії, які працюють у фоновому режимі браузера, обробляючи події та довгострокові завдання.
3. Сценарії контенту: Сценарії, що працюють в контексті веб-сторінок, дозволяючи пряму взаємодію з веб-сторінками.
4. Інтерфейс користувача (ІК): Включає елементи, такі як кнопки панелі інструментів браузера, спливаючі вікна, сторінки параметрів тощо.

2. Що роблять розширення Chrome?

1. Ad Blockers: Розширення, які можуть перехоплювати та блокувати рекламу на веб-сторінках, тим самим покращуючи швидкість завантаження сторінок та користувацький досвід. Приклади включають AdBlock та uBlock Origin.
2. Конфіденційність та безпека: деякі розширення підвищують конфіденційність та безпеку користувачів шляхом запобігання відстеженню, шифрування комунікацій, управління паролями тощо. Приклади включають Privacy Badger та LastPass.
3. Інструменти продуктивності: Розширення, які допомагають користувачам підвищити продуктивність, такі як управління завданнями, ведення нотаток, відстеження часу тощо. Приклади включають Todoist та Evernote Web Clipper.
4. Інструменти розробника: Інструменти для веб-розробників, які забезпечують можливості налагодження та розробки, такі як перегляд структури веб-сторінок, налагодження коду, аналіз мережевих запитів тощо. Приклади включають React Developer Tools та Postman.
5. Соціальні мережі та зв'язок: Розширення, які інтегрують інструменти соціальних медіа та засоби зв'язку, що дозволяють користувачам обробляти сповіщення в соціальних мережах, повідомлення тощо під час перегляду. Приклади включають Grammarly та Facebook Messenger.
6. Налаштування веб-сторінок: користувачі можуть налаштовувати вигляд та поведінку веб-сторінок за допомогою розширень, таких як зміна тем, перегрупування елементів сторінки, додавання додаткових функцій тощо. Приклади включають Stylish та Tampermonkey.
7. Завдання автоматизації: Розширення, які допомагають автоматизувати повторювані завдання, такі як заповнення форм, пакетне завантаження файлів тощо. Приклади включають iMacros та DownThemAll.
8. Переклад мови: Деякі розширення можуть перекладати вміст веб-сторінок в реальному часі, допомагаючи користувачам розуміти веб-сторінки на різних мовах, наприклад, Google Переклад.
9. Допомога з криптовалютою: Розширення, які полегшують торгівлю криптовалютою для користувачів, такі як MetaMask, тощо.

Гнучкість та різноманітність розширень Chrome дозволяють застосовувати їх у майже будь-якому сценарії перегляду, що допомагає користувачам виконувати завдання ефективніше.

3.Які дозволи має розширення Chrome після встановлення?

Після встановлення розширення Chrome можуть знадобитися дозволи для виконання певних функцій. Ці дозволи визначаються в файлі manifest.json розширення та під час встановлення запитують користувачів для підтвердження. Загальні дозволи включають:

1. <all_urls>: Дозволяє розширенню отримувати доступ до вмісту з усіх веб-сайтів. Це широке дозволу дозволяє розширенню читати та змінювати дані на всіх веб-сайтах.
2. вкладки: Дозволяє розширенню отримувати інформацію про вкладки браузера, включаючи доступ до поточно відкритих вкладок, створення та закриття вкладок тощо.
3. activeTab: Дозволяє розширенню тимчасовий доступ до поточної активної вкладки, зазвичай використовується для виконання певних дій, коли користувач натискає кнопку розширення.
4. зберігання: Дозволяє розширенню використовувати API сховища Chrome для зберігання та отримання даних. Це може бути використано для збереження налаштувань розширення, користувацьких даних тощо.
5. cookies: Дозволяє розширенню отримувати доступ до файлів cookie і змінювати їх у браузері.
6. webRequest та webRequestBlocking: Дозволяє розширенню перехоплювати та змінювати мережеві запити. Ці дозволи часто використовуються в розширеннях для блокування реклами та захисту конфіденційності.
7. закладки: Дозволяє розширенню отримувати доступ до закладок браузера та змінювати їх.
8. історія: Дозволяє розширенню отримувати доступ до і змінювати історію браузера.
9. сповіщення: Дозволяє розширенню відображати сповіщення на робочому столі.
10. contextMenus: Дозволяє розширенню додавати власні пункти меню до контекстного меню браузера (меню, яке відкривається правою кнопкою миші).
11. геолокація: дозволяє розширенню отримувати доступ до географічної інформації про місцезнаходження користувача.
12. clipboardRead та clipboardWrite: Дозволяє розширенню читати з буфера обміну та записувати в нього.
13. завантаження: Дозволяє розширенню керувати завантаженнями, включаючи запуск, паузу та скасування завантажень.
14. Управління: Дозволяє розширенню керувати іншими розширеннями та додатками в браузері.
15. фон: Дозволяє розширенню виконувати тривалі завдання в фоновому режимі.
16. сповіщення: Дозволяє розширенню відображати системні сповіщення.
17. webNavigation: Дозволяє розширенню відстежувати та модифікувати поведінку навігації браузера.

Ці дозволи дозволяють розширенням Chrome виконувати багато потужних та різноманітних функцій, але це також означає, що розширення можуть отримувати доступ до чутливих даних користувача, таких як файли cookie, інформація про аутентифікацію та інше.

4. Чому зловмисні додатки Chrome можуть крадіти дозволи користувача?

Зловмисні розширення Chrome можуть використовувати запитані дозволи для крадіжки облікових даних користувачів та інформації про автентифікацію, оскільки ці розширення мають прямий доступ до браузера користувача та можуть маніпулювати його середовищем та даними.

1. Широкий доступ: зловредні додатки часто запитують широкі дозволи, такі як доступ до всіх веб-сайтів (<all_urls>), читання та зміна вкладок браузера (вкладки) та доступ до сховища браузера (сховище). Ці дозволи дозволяють зловредним додаткам широко отримувати доступ до перегляду діяльності та даних користувачів.
2. Маніпулювання мережевими запитами: Зловмисні розширення можуть використовувати дозволи webRequest та webRequestBlocking для перехоплення та зміни мережевих запитів, тим самим крадучи аутентифікаційну інформацію та чутливі дані користувачів. Наприклад, вони можуть перехоплювати дані форм, коли користувачі входять на веб-сайти, щоб отримати імена користувачів та паролі.
3. Читання та запис вмісту сторінки: через контент-скрипти злоякісні розширення можуть вбудовувати код на веб-сторінки, щоб читати та змінювати вміст сторінки. Це означає, що вони можуть викрасти будь-які дані, введені користувачами на веб-сторінках, такі як інформація форми та пошукові запити.
4. Доступ до зберігання браузера: зловмисні розширення можуть використовувати дозволи на зберігання, щоб отримувати доступ до та зберігати локальні дані користувачів, включаючи зберігання браузера, яке може містити конфіденційну інформацію (наприклад, LocalStorage та IndexedDB).
5. Маніпулювання буфером обміну: З дозволами на читання та запис буферу обміну зловмисні розширення можуть читати та записувати вміст буферу обміну користувачів, тим самим крадуть або змінюють інформацію, скопійовану та вставлену користувачами.
6. Під прикриттям справжніх веб-сайтів: Зловмисні розширення можуть прикидатися справжніми веб-сайтами, змінюючи вміст браузера або перенаправляючи користувачів на підроблені сторінки, обманюючи їх, щоб вони вводили чутливу інформацію.
7. Працюючи в фоновому режимі протягом тривалих періодів: Зловмисні додатки з дозволами на фонову роботу можуть працювати постійно в фоновому режимі навіть тоді, коли користувачі не активно використовують їх. Це дозволяє їм відстежувати дії користувачів протягом тривалих періодів і збирати великі обсяги даних.
8. Маніпулювання завантаженням: Використовуючи дозволи на завантаження, злоякісні розширення можуть завантажувати та виконувати злоякісні файли, що подальшим чином загрожує безпеці системи користувача.

5. Чому жертви цього зловмисного розширення втратили свої дозволи та були позбавлені своїх коштів?

Тому що це злоякісний розширення Aggr вдалося отримати тлустих інформацію, про яку ми щойно говорили, ось уривок з розділу дозволів з його файлу manifest.json:

1. печиво
2. вкладки
3. <all_urls>
4. зберігання

6. Що може зловмисне розширення Chrome зробити після крадіжки кукі-файлів користувачів?

1. Отримання доступу до облікових записів: Зловмисні додатки можуть використовувати вкрадені куки для симуляції входу користувача до платформ торгівлі криптовалютою, тим самим отримуючи доступ до інформації про обліковий запис користувача, включаючи баланси та історію транзакцій.
2. Здійснення транзакцій: Вкрадені файли cookie можуть дозволити зловмисним розширенням здійснювати транзакції без згоди користувача, купувати або продавати криптовалюту або переказувати активи на інші рахунки.
3. Зняття коштів: Якщо файли cookie містять інформацію про сесію та токени автентифікації, зловмисні розширення можуть обійти двофакторну аутентифікацію (2FA) та ініціювати виведення коштів, переказуючи криптовалюти користувачів на гаманці, керовані зловмисниками.
4. Доступ до чутливої інформації: Зловмисні розширення можуть отримувати доступ до чутливої інформації та збирати її в облікових записах торгової платформи користувачів, таких як аутентифікаційні документи та адреси, що потенційно можуть використовуватися для подальших випадків крадіжки ідентичності або шахрайських дій.
5. Зміна налаштувань облікового запису: зловмисні розширення можуть змінювати налаштування облікових записів користувачів, такі як пов’язані електронні адреси та номери телефонів, далі контролювати облікові записи та крадіти більше інформації.
6. Підробка користувачів для атак соціальної інженерії: Використання облікових записів користувачів для атак соціальної інженерії, таких як надсилання шахрайських повідомлень контактам користувачів, спокушання їх на небезпечні операції або надання більш чутливої інформації.

Відповіді

Бачачи це, багато користувачів можуть запитуватися: "Що мені робити? Чи просто відключитися від Інтернету і взагалі припинити використання? Чи маю я використовувати окремий комп'ютер для операцій? Чи маю я уникати входу до платформ через веб-сторінки?" Інтернет-ресурси пропонують багато екстремальних порад, але насправді ми можемо навчитися розумно запобігати таким ризикам:

Заходи зменшення особистого користувача:

1. Підвищити свідомість особистої безпеки: першою профілактичною порадою є підвищення свідомості особистої безпеки та підтримання скептичного ставлення у всі часи.
2. Встановлюйте розширення лише з надійних джерел: Встановлюйте розширення з Chrome Web Store або інших надійних джерел, читайте відгуки користувачів та запити дозволів, і уникайте надання непотрібних прав доступу до розширень.
3. Використовуйте безпечне середовище перегляду: уникайте встановлення розширень з невідомих джерел, регулярно переглядайте й видаляйте непотрібні розширення, розгляньте можливість використання різних браузерів для ізоляції перегляду плагінів та фінансових транзакцій.
4. Регулярно контролюйте активність облікового запису: регулярно перевіряйте активності входу в обліковий запис та записи транзакцій та негайно приймайте заходи у випадку виявлення підозрілої поведінки.
5. Пам'ятайте вийти з системи: Пам'ятайте вийти з системи після використання веб-платформ. Багато людей часто забувають натиснути «вийти з системи» після завершення операцій на платформі для зручності, що створює загрозу безпеки.
6. Використовуйте апаратні гаманці: для великих активів використовуйте апаратні гаманці для зберігання задля підвищення безпеки.
7. Налаштування браузера та інструменти безпеки: Використовуйте безпечні налаштування браузера та розширення (такі як блокувальники реклами та інструменти захисту конфіденційності), щоб зменшити ризик шкідливих розширень.
8. Використовуйте програмне забезпечення безпеки: Встановлюйте та використовуйте програмне забезпечення безпеки для виявлення та запобігання шкідливих розширень та іншого вірусного програмного забезпечення.

Остаточні рекомендації з контролю за ризиками для платформ: Завдяки впровадженню цих заходів торговельні платформи можуть зменшити ризики безпеки, що створюють зловмисні розширення для Chrome для користувачів:

Забезпечте використання двофакторної автентифікації (2FA):

• Увімкніть 2FA глобально: вимагайте, щоб усі користувачі увімкнули двоетапну аутентифікацію (2FA) для входу та важливих операцій (таких як торгівля, розміщення замовлень та виведення коштів), що забезпечує, що навіть якщо файли cookie користувача будуть вкрадені, зловмисники не зможуть легко отримати доступ до облікового запису.

• Декілька методів аутентифікації: підтримка декількох методів 2FA, таких як SMS, електронна пошта, Google Authenticator та апаратні токени.

Управління сесіями та безпека:

• Керування пристроями: Забезпечте користувачам можливість перегляду та керування ввійденими пристроями, дозволяючи їм завершити сеанси на невпізнаних пристроях в будь-який час.

• Тайм-аут сесії: Впроваджуйте політики тайм-ауту сесій, щоб автоматично виходити з неактивних сесій та зменшувати ризик викрадення сесії.

• Моніторинг IP-адрес та геолокації: Виявлення та сповіщення користувачів про спроби входу з незвичайних IP-адрес або геолокацій, а також блокування цих входів за необхідності.

Підвищте налаштування безпеки облікового запису:

• Сповіщення про безпеку: Негайно повідомляйте користувачів про важливі дії, такі як вхід в обліковий запис, зміну пароля та виведення коштів через електронну пошту або SMS, щоб сповістити користувачів про підозрілі дії.

• Функція заморожування облікового запису: надати користувачам можливість швидко заморожувати свої облікові записи в надзвичайних ситуаціях, щоб контролювати збитки.

Посилити системи моніторингу та контролю ризиків:

• Виявлення аномальної поведінки: Використання машинного навчання та аналітики великих даних для моніторингу поведінки користувачів, виявлення аномальних торгових зразків та активностей рахунків та своєчасного втручання в ризик-контроль.

• Попередження про ризики: Сповіщення та обмеження підозрілих дій, таких як часті зміни в інформації облікового запису або часті невдачі при спробах входу.

Надавати користувачам освіту з безпеки та інструменти:

• Навчання з безпеки: Поширення знань про безпеку серед користувачів через офіційні соціальні медіа-акаунти, електронну пошту, платформові повідомлення тощо, підвищуючи свідомість про ризики браузерних розширень та як захистити свої облікові записи.

• Інструменти безпеки: Надайте офіційні додатки або розширення для браузера, щоб допомогти користувачам підвищити безпеку облікового запису та виявити та попередити користувачів про потенційні загрози безпеки.

Висновок

Бути відвертим, з технічної точки зору, впровадження раніше згаданих заходів з контролю за ризиками не завжди є найкращим підходом. Збалансувати безпеку та потреби бізнесу надзвичайно важливо; занадто великий акцент на безпеку може погіршити враження користувача. Наприклад, вимога другого фактору аутентифікації під час розміщення замовлення може призвести до того, що багато користувачів вимкнуть його для швидших транзакцій. Цей зручний для користувачів підхід також допомагає хакерам, оскільки вкрадені файли cookie можуть дозволити їм маніпулювати угодами та поставляти активи користувача. Тому різні платформи та користувачі можуть потребувати різних підходів до управління ризиками. Знаходження балансу між безпекою та бізнес-цілями варіюється залежно від платформи, і надзвичайно важливо, щоб платформи надавали пріоритет як враженню користувача, так і захисту облікових записів та активів користувача.

Відмова від відповідальності:

1. Цю статтю перепринтировано з [PANews]. Усі авторські права належать оригінальному автору [Технологія Slow Mist]. Якщо є зауваження до цього видруку, будь ласка, зв'яжіться з Вивчайте воротакоманда, і вони швидко з цим впораються.
2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, є виключно тими автора та не становлять жодної інвестиційної поради.
3. Переклади статті на інші мови виконуються командою Gate Learn. Якщо не зазначено інше, копіювання, поширення або плагіат перекладених статей заборонено.