歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
瀏覽器外掛程式風險高達51%,可能引發機敏資料被竊
2023 / 08 / 26
編輯部
軟體即服務 (SaaS) 應用程式已成為企業高度依賴的工具,企業使用它們來提高生產力、改善客戶體驗並連接分散各地的員工。然而,SaaS也增加了公司的安全風險,擴大了惡意行為者的攻擊面,並使資料面臨更多威脅。
Spin.AI的研究報告顯示,超過 75% 的 SaaS 應用程式屬於中風險或高風險,這意味著它們對 Microsoft 365 和 Google Workspace 平台上的資料構成重大風險。Spin.AI最近的另一份報告著重瀏覽器外掛程式以及cookie 管理器、廣告攔截器、內容過濾器和自定義腳本插件的安全研究。
Spin.AI 用AI分析企業使用超過 300,000 個外掛程式和第三方 OAuth 應用程式,並對它們的安全、合規性、隱私和運營風險進行評估。Spin.AI基於Chromium 瀏覽器環境下,發現 Microsoft 365 和 Google Workspace 使用外掛程式中有近 51% 屬於高風險,另外 44.5% 屬於中風險。
Spin.AI表示,中風險和高風險的應用程式多半可以存取高等級內容,從而允許它們竊取資料或運行潛在的惡意 JavaScript。考量外掛程式的開發人員設計時較少考慮安全合規因素,讓這些外掛程式的風險性更高。
這就是目前攻擊者透過供應鏈攻擊企業的一種途徑。專家表示,由於外掛程式活動缺乏可視性,再加上Google Workspace API 和Google drive、Gmail 和Google 日曆的共享程式權限,使得瀏覽器外掛程式成為攻擊者佈署和獲取訪問權限的簡單方法。
外掛程式管理是關鍵
瀏覽器外掛程式可能與第三方 SaaS 應用程式一樣危險,甚至更危險,並增加了管理員管理責任。
Spin.AI 並不是唯一家發現外掛程式問題的公司。Avast 的研究人員 6 月份曾在 Google Chrome 商店中發現了 32 個惡意外掛程式,從廣告攔截、下載器和瀏覽器佈景主題到記錄器和選項卡管理器,這些外掛程式程序的下載量已達 7500 萬次。
Spin.AI 與 Google 合作,在 Chrome 瀏覽器管理平台中建立Chrome 外掛程式程序風險評估功能。
開發商面臨的風險最高
Spin.AI 發現,大多數企業使用外掛程式都是為了提高生產力,例如用於寫作輔助的 Grammarly。然而,高風險外掛程式比例最高的類別(超過 56%)是雲開發人員,例如微軟基於人工智能的 Copilot。
外掛程式帶來的風險包括惡意應用程式的操作。此外,某些外掛程式會收集用戶付款資訊、登錄憑證和身份驗證權杖等敏感信息。
專家表示須注意「權限連結」,用
戶授予權限可能會損害資料。更重要的是,權限也可以一起使用,從而導致更大的安全風險,如,獲得身份權限後使用「權限請求」將此惡意訊息送給第三方。
舉例來說,一個已有 9,000 多名用戶安裝,偽裝成合法的 ChatGPT Chrome 瀏覽器外掛程式,曾在 Facebook 廣告宣傳,幫助使用者利用生成式 AI 工具改進搜索引擎。但實際是劫持 Facebook 帳戶的惡意程式。即使Google刪除了該外掛程式程序,但當時該外掛程式程序已竊取至少 6,000 個企業帳戶和 7,000 個 VPN 帳戶的登錄憑證。
不受監管的 ChatGPT 外掛程式正在迅速增加。5 月份,Google 商店中出現了 11 個 ChatGPT 外掛程式,到目前已經有200多個。
監控應用程式權限是降低外掛程式風險的關鍵。專家建議企業需要採取全面的方法來解決 SaaS 安全問題,包括建立 SaaS 應用程式和外掛程式的實時清單、進行持續風險評估、使用第三方管理框架和執行策略以及策略性的自動化控制允許或阻止外掛程式和應用程式。
本文轉載自securityboulevard。
SaaS
瀏覽器外掛程式
供應鏈安全
軟體成熟度
安全左移
身分驗證
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
2024.12.19
數位轉型與資安未來-打造企業級基礎設施、網路安全與API管理
2024.12.20
『Silverfort Essential︰統一身份保護平台套件』 網路研討會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
新型釣魚攻擊手法:利用損壞的 Word 文件躲避資安檢測
多家依賴 CDN 業者提供 WAF 服務的企業用戶因設定不當暴露於資安威脅
美國CISA示警Zyxel等品牌之網路設備遭受攻擊中
Palo Alto Networks 預測 2025 年資安趨勢:平台整合與AI防禦成關鍵
大規模採用中國光學雷達設備 恐對國家安全構成威脅
資安人科技網
文章推薦
Windows新零時差漏洞曝光:僅瀏覽惡意檔案即可竊取NTLM憑證
趨勢科技推出全新AI防詐達人 阻絕AI世代的詐騙危機
2024 CGGC網路守護者挑戰賽,「海狗再打十年」隊獲得冠軍