超过一半的浏览器扩展存在安全风险

一项新的研究发现，组织允许员工在使用 Google Workspace 和 Microsoft 365 等 SaaS 应用时使用的许多浏览器扩展可以访问高级内容，并存在数据盗窃和合规问题等风险。

Spin.AI 的研究人员最近对企业环境中使用的约 300,000 个浏览器扩展和第三方 OAuth 应用程序进行了风险评估。重点是跨多种浏览器（例如 Google Chrome 和 Microsoft Edge）的基于 Chromium 的浏览器扩展。

高风险扩展

研究显示，所有已安装的扩展中有 51% 具有高风险，有可能对使用它们的组织造成广泛损害。这些扩展程序都能够从企业应用程序捕获敏感数据，运行恶意 JavaScript，并秘密向外部各方发送包括银行详细信息和登录凭据在内的受保护数据。

Spin 评估的大多数扩展（53% ）都是与生产力相关的扩展。但最糟糕的——至少从安全和隐私的角度来看——是云软件开发环境中使用的浏览器扩展：Spin 评估其中 56% 为高安全风险。

本周发布的一份报告的作者之一戴维·阿萨特里安 (Davit Asatryan) 表示：“这份报告给各组织带来的主要收获是与浏览器扩展相关的重大网络安全风险。” 他表示：“这些扩展程序虽然提供了各种功能来增强用户体验和生产力，但可能会对 Chrome 和 Edge 等浏览器中存储的数据或 Google Workspace 和 Microsoft 365 等平台中存储的 SaaS 数据构成严重威胁。”

一个例子是最近发生的一起事件，威胁行为者上传了一个浏览器扩展程序，该扩展程序声称是合法的 ChatGPT 浏览器插件，但实际上是劫持 Facebook 帐户的特洛伊木马。数千名用户安装了该扩展程序，但他们的 Facebook 帐户凭据很快就被盗了。被盗账户包括数千个企业账户。

谷歌迅速从其官方 Chrome 商店中删除了该武器化扩展。但这并没有阻止其他人将其他 ChatGPT 扩展程序免费上传到同一商店：Spin 在 8 月份在 Chrome 网上商店中发现了超过 200 个 ChatGPT 扩展程序，而 5 月份仅为 11 个。

控制不严

Spin 的分析显示，拥有超过 2,000 名员工的组织平均安装了 1,454 个扩展。其中最常见的是与生产力相关的扩展、帮助开发人员的工具以及可实现更好的可访问性的扩展。超过三分之一 (35%) 的此类扩展存在高风险，而在员工人数少于 2,000 人的组织中，这一比例为 27%。

Spin 报告中的一个令人吃惊的结论是，匿名作者的浏览器扩展数量相对较多（42,938 个），组织似乎在自由使用这些扩展，而没有考虑任何潜在的安全隐患。Asatryan 表示，考虑到任何怀有恶意的人都可以轻松地发布扩展程序，这一统计数据尤其令人担忧。更糟糕的是，在某些情况下，组织使用的浏览器扩展来自官方市场之外。

“公司有时也会构建自己的扩展供内部使用并上传它们，”Asatryan 说。“然而，这可能会带来额外的风险，因为来自这些来源的扩展可能不会经过与官方商店中提供的扩展相同级别的审查和安全检查”。

Spin 发现浏览器可能从一开始就很糟糕，或者有时会通过自动更新获得恶意质量。当攻击者渗透到组织的供应链并将恶意代码插入到合法更新中时，就会发生这种情况。开发人员还可以将其扩展出售给其他第三方，然后这些第三方可能会使用恶意功能对其进行更新。

组织需要考虑的另一个因素是浏览器扩展如何使用其权限以意想不到的方式运行。“例如，扩展程序可以获得‘身份’权限，然后使用‘网络请求’权限将此信息发送给第三方，”Asatryan 说。

他指出，对于组织来说，建立和执行基于第三方风险管理框架的政策非常重要。他们需要评估扩展和应用程序的操作、安全、隐私和合规风险，并考虑实施自动化控制，以根据组织策略允许或阻止扩展。

Asatryan 说：“我们建议组织在安装浏览器扩展之前对其进行评估，考虑扩展程序请求的权限范围、开发人员的声誉以及安全或合规性审计的披露等因素。” 定期更新和维护很重要，用户评论和评级以及任何数据泄露或安全事件的历史记录也很重要。