歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
瀏覽器外掛程式風險高達51%,可能引發機敏資料被竊
2023 / 08 / 26
編輯部
軟體即服務 (SaaS) 應用程式已成為企業高度依賴的工具,企業使用它們來提高生產力、改善客戶體驗並連接分散各地的員工。然而,SaaS也增加了公司的安全風險,擴大了惡意行為者的攻擊面,並使資料面臨更多威脅。
Spin.AI的研究報告顯示,超過 75% 的 SaaS 應用程式屬於中風險或高風險,這意味著它們對 Microsoft 365 和 Google Workspace 平台上的資料構成重大風險。Spin.AI最近的另一份報告著重瀏覽器外掛程式以及cookie 管理器、廣告攔截器、內容過濾器和自定義腳本插件的安全研究。
Spin.AI 用AI分析企業使用超過 300,000 個外掛程式和第三方 OAuth 應用程式,並對它們的安全、合規性、隱私和運營風險進行評估。Spin.AI基於Chromium 瀏覽器環境下,發現 Microsoft 365 和 Google Workspace 使用外掛程式中有近 51% 屬於高風險,另外 44.5% 屬於中風險。
Spin.AI表示,中風險和高風險的應用程式多半可以存取高等級內容,從而允許它們竊取資料或運行潛在的惡意 JavaScript。考量外掛程式的開發人員設計時較少考慮安全合規因素,讓這些外掛程式的風險性更高。
這就是目前攻擊者透過供應鏈攻擊企業的一種途徑。專家表示,由於外掛程式活動缺乏可視性,再加上Google Workspace API 和Google drive、Gmail 和Google 日曆的共享程式權限,使得瀏覽器外掛程式成為攻擊者佈署和獲取訪問權限的簡單方法。
外掛程式管理是關鍵
瀏覽器外掛程式可能與第三方 SaaS 應用程式一樣危險,甚至更危險,並增加了管理員管理責任。
Spin.AI 並不是唯一家發現外掛程式問題的公司。Avast 的研究人員 6 月份曾在 Google Chrome 商店中發現了 32 個惡意外掛程式,從廣告攔截、下載器和瀏覽器佈景主題到記錄器和選項卡管理器,這些外掛程式程序的下載量已達 7500 萬次。
Spin.AI 與 Google 合作,在 Chrome 瀏覽器管理平台中建立Chrome 外掛程式程序風險評估功能。
開發商面臨的風險最高
Spin.AI 發現,大多數企業使用外掛程式都是為了提高生產力,例如用於寫作輔助的 Grammarly。然而,高風險外掛程式比例最高的類別(超過 56%)是雲開發人員,例如微軟基於人工智能的 Copilot。
外掛程式帶來的風險包括惡意應用程式的操作。此外,某些外掛程式會收集用戶付款資訊、登錄憑證和身份驗證權杖等敏感信息。
專家表示須注意「權限連結」,用
戶授予權限可能會損害資料。更重要的是,權限也可以一起使用,從而導致更大的安全風險,如,獲得身份權限後使用「權限請求」將此惡意訊息送給第三方。
舉例來說,一個已有 9,000 多名用戶安裝,偽裝成合法的 ChatGPT Chrome 瀏覽器外掛程式,曾在 Facebook 廣告宣傳,幫助使用者利用生成式 AI 工具改進搜索引擎。但實際是劫持 Facebook 帳戶的惡意程式。即使Google刪除了該外掛程式程序,但當時該外掛程式程序已竊取至少 6,000 個企業帳戶和 7,000 個 VPN 帳戶的登錄憑證。
不受監管的 ChatGPT 外掛程式正在迅速增加。5 月份,Google 商店中出現了 11 個 ChatGPT 外掛程式,到目前已經有200多個。
監控應用程式權限是降低外掛程式風險的關鍵。專家建議企業需要採取全面的方法來解決 SaaS 安全問題,包括建立 SaaS 應用程式和外掛程式的實時清單、進行持續風險評估、使用第三方管理框架和執行策略以及策略性的自動化控制允許或阻止外掛程式和應用程式。
本文轉載自securityboulevard。
SaaS
瀏覽器外掛程式
供應鏈安全
軟體成熟度
安全左移
身分驗證
最新活動
2024.10.03
2024 數位經濟資安趨勢論壇
2024.09.11
【資安活動快訊】9/11(三) 2024 ISFP 談資安國際趨勢到臺灣資安圈內投資與合作講座課程
2024.09.12
ISO 27001認證是什麼?可否自行導入?資安懶人包
2024.09.13
[高雄專場]「神機妙算料事準,洞悉威脅守安全」資安超前部署論壇
2024.09.19
安碁學苑資安職能線上講座:資訊安全工程師
2024.09.24
【2024 叡揚資安趨勢講堂】
2024.09.27
零信任資安強化企業防禦韌性媒合交流會
看更多活動
大家都在看
內部滲透測試在AI時代下對資安防護的重要性
最新Linux 版本Cicada勒索軟體 鎖定 VMware ESXi 伺服器
「佛地魔」惡意程式假冒全球各地稅務機關發動攻擊
TXOne Networks籲半導體業強化資產生命週期防護
駭客招數不斷翻新,「用戶帳號」仍是首要目標
資安人科技網
文章推薦
車載資安的未來:把車輛視為端點加以保護
數發部數產署攜手後量子資安產業聯盟 共同強化產業資安聯防
漢昕科技2024 Solution Day:資安自動化的重要性及其實踐策略