https://www.informationsecurity.com.tw/seminar/2024_Cloudflare/
https://www.informationsecurity.com.tw/seminar/2024_Cloudflare/

觀點

瀏覽器外掛程式風險高達51%,可能引發機敏資料被竊

2023 / 08 / 26
編輯部
瀏覽器外掛程式風險高達51%,可能引發機敏資料被竊
軟體即服務 (SaaS) 應用程式已成為企業高度依賴的工具,企業使用它們來提高生產力、改善客戶體驗並連接分散各地的員工。然而,SaaS也增加了公司的安全風險,擴大了惡意行為者的攻擊面,並使資料面臨更多威脅。
 
Spin.AI的研究報告顯示,超過 75% 的 SaaS 應用程式屬於中風險或高風險,這意味著它們對 Microsoft 365 和 Google Workspace 平台上的資料構成重大風險。Spin.AI最近的另一份報告著重瀏覽器外掛程式以及cookie 管理器、廣告攔截器、內容過濾器和自定義腳本插件的安全研究。
 
Spin.AI 用AI分析企業使用超過 300,000 個外掛程式和第三方 OAuth 應用程式,並對它們的安全、合規性、隱私和運營風險進行評估。Spin.AI基於Chromium 瀏覽器環境下,發現 Microsoft 365 和 Google Workspace 使用外掛程式中有近 51% 屬於高風險,另外 44.5% 屬於中風險。
 
Spin.AI表示,中風險和高風險的應用程式多半可以存取高等級內容,從而允許它們竊取資料或運行潛在的惡意 JavaScript。考量外掛程式的開發人員設計時較少考慮安全合規因素,讓這些外掛程式的風險性更高。
 
這就是目前攻擊者透過供應鏈攻擊企業的一種途徑。專家表示,由於外掛程式活動缺乏可視性,再加上Google Workspace API 和Google drive、Gmail 和Google 日曆的共享程式權限,使得瀏覽器外掛程式成為攻擊者佈署和獲取訪問權限的簡單方法。

外掛程式管理是關鍵

瀏覽器外掛程式可能與第三方 SaaS 應用程式一樣危險,甚至更危險,並增加了管理員管理責任。
 
Spin.AI 並不是唯一家發現外掛程式問題的公司。Avast 的研究人員 6 月份曾在 Google Chrome 商店中發現了 32 個惡意外掛程式,從廣告攔截、下載器和瀏覽器佈景主題到記錄器和選項卡管理器,這些外掛程式程序的下載量已達 7500 萬次。
 
Spin.AI 與 Google 合作,在 Chrome 瀏覽器管理平台中建立Chrome 外掛程式程序風險評估功能。

開發商面臨的風險最高

Spin.AI 發現,大多數企業使用外掛程式都是為了提高生產力,例如用於寫作輔助的 Grammarly。然而,高風險外掛程式比例最高的類別(超過 56%)是雲開發人員,例如微軟基於人工智能的 Copilot。
 
外掛程式帶來的風險包括惡意應用程式的操作。此外,某些外掛程式會收集用戶付款資訊、登錄憑證和身份驗證權杖等敏感信息。專家表示須注意「權限連結」,用戶授予權限可能會損害資料。更重要的是,權限也可以一起使用,從而導致更大的安全風險,如,獲得身份權限後使用「權限請求」將此惡意訊息送給第三方。
 
舉例來說,一個已有 9,000 多名用戶安裝,偽裝成合法的 ChatGPT Chrome 瀏覽器外掛程式,曾在 Facebook 廣告宣傳,幫助使用者利用生成式 AI 工具改進搜索引擎。但實際是劫持 Facebook 帳戶的惡意程式。即使Google刪除了該外掛程式程序,但當時該外掛程式程序已竊取至少 6,000 個企業帳戶和 7,000 個 VPN 帳戶的登錄憑證。
 
不受監管的 ChatGPT 外掛程式正在迅速增加。5 月份,Google 商店中出現了 11 個 ChatGPT 外掛程式,到目前已經有200多個。
 
監控應用程式權限是降低外掛程式風險的關鍵。專家建議企業需要採取全面的方法來解決 SaaS 安全問題,包括建立 SaaS 應用程式和外掛程式的實時清單、進行持續風險評估、使用第三方管理框架和執行策略以及策略性的自動化控制允許或阻止外掛程式和應用程式。

本文轉載自securityboulevard。