Tarayıcıyı tehlikeye atmak, rakipler için yüksek getiri hedefidir. Tarayıcıya eklenen ve tarama deneyimlerini geliştirebilen küçük yazılım modülleri olan tarayıcı uzantıları, popüler bir tarayıcı saldırı vektörü haline geldi. Bunun nedeni, kullanıcılar arasında geniş çapta benimsenmeleri ve geliştirici eylemleri veya meşru uzantılara yönelik saldırılar yoluyla kolayca kötü niyetli hale gelebilmeleridir.
Son zamanlarda yaşananlar şöyle VeriSpii ve Nigelthorn Kötü amaçlı yazılım saldırısı, kötü amaçlı uzantıların verebileceği hasarın boyutunu ortaya çıkardı. Her iki durumda da kullanıcılar masum bir şekilde gizliliklerini ve güvenliklerini tehlikeye atan uzantılar yüklediler. Temel sorun, uzantılara verilen izinlerde yatmaktadır. Genellikle aşırı ve ayrıntılı olmayan bu izinler, saldırganların bu izinlerden yararlanmasına olanak tanır.
Kuruluşlar, tarayıcı uzantılarının kullanımını tamamen engellemeden (uygulanması neredeyse imkansız olan bir eylem) kendilerini tarayıcı uzantılarının risklerinden korumak için ne yapabilirler?
LayerX’in yeni bir raporu, “Kötü Amaçlı Tarayıcı Uzantılarının Tehdidini Ortaya Çıkarmak” (buradan indir), kötü amaçlı tarayıcı uzantıları tehdit ortamına ilişkin derinlemesine bilgiler sağlarken, hafifletmeye yönelik öneriler de sunar.
Rapor, kötü amaçlı uzantıların etki alanını inceleyerek birkaç temel noktaya odaklanıyor:
- Kötü amaçlı uzantı türleri
- Kurulum – Kötü amaçlı uzantılar kullanıcıların tarayıcılarına nasıl erişim sağlıyor?
- Potansiyel olarak kötü amaçlı uzantıların göstergeleri nelerdir?
- Kötü amaçlı uzantılar tarafından kötüye kullanılabilecek kritik izinler
- Tarayıcı uzantısı saldırı vektörü
- Azaltma yöntemleri
Rapordaki bazı önemli bulgulara bakalım. raporun tamamını burada bulabilirsiniz.
3 Tür Kötü Amaçlı Uzantı
Kötü amaçlı uzantılar üç ana gruba ayrılabilir:
1. Başlangıçta Kötü Amaçlı Uzantılar – Bunlar, kötü niyetli aktörler tarafından kasıtlı olarak neden olunan uzantılardır. Bu uzantılar web mağazalarına yüklenebilir veya saldırganın altyapısında barındırılabilir.
2. Güvenliği Tehlikeye Giren Uzantılar – Doğrudan rakipler tarafından satın alınan veya saldırgan tarafından tehlikeye atılan ve kötü amaçlı faaliyetler için kullanılan, başlangıçta meşru uzantılar.
3. Riskli Uzantılar – Bunlar, başlangıçta kötü niyetle oluşturulmasa da güvenlik riski oluşturabilecek aşırı izinlere sahip meşru uzantılardır.
Uzantılar Tarayıcıya Nasıl ve Neden Yüklenir?
Kötü amaçlı uzantılar, her biri kendi güvenlik hususlarını içeren çeşitli yöntemlerle kurbanın tarayıcısına sızabilir:
1. Yönetici Kurulumu – Ağ yöneticileri tarafından merkezi olarak dağıtılan, genellikle açık kurumsal onaya sahip uzantılar.
Buradaki kritik güvenlik sorusu, bu uzantıların kurumsal ağ içinde gerçekten gerekli olup olmadığı ve herhangi bir güvenlik riski oluşturup oluşturmadığıdır. Bu tür uzantılara olan ihtiyacı ve bunların ağ güvenliği üzerindeki potansiyel etkilerini dikkatlice değerlendirmek önemlidir.
2. Normal Kurulum – Kullanıcıların bir uzantının listesini ziyaret ederek resmi tarayıcı mağazalarından indirdiği uzantılar. Bu yaklaşım, kullanıcıların hangi uzantıları yükleyecekleri konusunda bağımsız seçimler yapmalarına olanak tanır.
Bu esneklik sunarken, bu yaklaşım çalışanların tercihleriyle ilişkili potansiyel risklere ilişkin güvenlik sorusunu gündeme getiriyor. Bu uzantıların iş gücü arasındaki popülerliğini ve güvenliğini değerlendirmek, güvenli bir tarama ortamı sağlamak için hayati öneme sahiptir.
3. Geliştirici Kurulumu – Çalışanların yerel bilgisayarlarından yüklenen uzantılar. Bu uzantılar çalışanların iş istasyonlarından kaynaklandığından, yüklü yazılımlar için olağan inceleme sürecini atlarlar.
Potansiyel riskleri önlemek için çalışanların paketlenmemiş uzantı dosyalarını doğrudan makinelerinden yüklemelerine izin vermenin güvenlik açısından sonuçlarını incelemek çok önemlidir.
4. Yan Yük Kurulumu – Bu yöntem, Adobe veya diğer yazılım sağlayıcıları gibi üçüncü taraf uygulamaların uzantı yüklemesini içerir. Ne yazık ki, bu en az güvenli seçenektir çünkü düşmanlar tarafından kullanıcının haberi olmadan kötü amaçlı uzantılar yüklemek için kolayca kullanılabilir.
Bu uygulamaların tarayıcılarla nasıl etkileşim kurduğunu ve uzantılara verdikleri erişim ve izinleri değerlendirmek, güvenlik risklerini azaltmak açısından önemlidir.
LayerX, kullanıcı verilerine göre aşağıdaki kurulum türlerinin dağıtımını belirlemiştir. Görüldüğü üzere uzantıların büyük çoğunluğu (%81) resmi tarayıcı mağazalarından indiren kullanıcılar tarafından yükleniyor.
Potansiyel Kötü Amaçlı Uzantıların Göstergeleri
Uzantıları kendileri indiren kullanıcıların yaygın popülaritesi göz önüne alındığında, dikkatli olmak ve çalışanları hangi uzantıların potansiyel olarak kötü amaçlı olabileceğini belirleme konusunda eğitmek önemlidir. Ana göstergelerden bazıları şunlardır:
- Adres ve E-postal – Chrome Web Mağazası girişinde geliştiricinin iletişim adresinin veya e-postasının eksik olması, sorumluluk eksikliği konusunda endişelere yol açıyor. Uzantının arkasında kimin durduğunu bilmek çok önemli.
- Son güncelleme – Güncellemelerin sıklığı potansiyel güvenlik ve uyumluluk risklerini yansıtır. Güncel olmayan uzantılar, güvenlik tehditlerine karşı daha savunmasız olabilir ve en son tarayıcı sürümleriyle düzgün çalışmayabilir.
- Gizlilik Politikası – Web Mağazası girişinde bir gizlilik politikasının bulunmaması, uzantının kullanıcı verilerini ve gizliliğini nasıl ele aldığıyla ilgili potansiyel sorunlara işaret edebilir. Güvenilir uzantılar veri uygulamaları konusunda şeffaftır.
- Değerlendirme – Kullanıcı derecelendirmeleri, bir uzantının genel kalitesi ve kullanıcı memnuniyeti hakkında bilgi sağlar. Daha yüksek derecelendirmeler genellikle daha güvenli ve daha güvenilir bir uzantıya işaret eder.
- Kullanıcıları Derecelendirme – Kullanıcı derecelendirmelerinin sayısı da önemlidir. Daha fazla derecelendirme, genellikle daha büyük bir kullanıcı tabanı ve sorunlarla veya güvenlik sorunlarıyla karşılaşma riskinin daha düşük olması anlamına gelir.
- Destek Sitesi – Web Mağazası’nda uzantıyla ilişkili bir destek sitesinin bulunması, kullanıcıların yardım aramasına olanak tanır. Destek bilgilerinin eksikliği bir tehlike işareti olabilir.
- Kullanıcı sayısı – Yaygın olarak kullanılan uzantılar genellikle daha güvenli seçimlerdir. Kullanıcı sayısının az olması desteği etkileyebilir ve güvenilirliğin düşmesine neden olabilir.
- İnternet sitesi – Uzantıyla ilişkili resmi bir web sitesinin varlığı ek bilgi ve kaynaklar sağlayabilir. Bir web sitesinin olmaması, şeffaflığın veya ek belgelerin eksikliği anlamına gelebilir.
- Resmi Olmayan Mağazalar – Bir uzantı herhangi bir resmi tarayıcı mağazasında mevcut değilse (örneğin, Chrome Web Mağazası), bu potansiyel bir risk olabilir. Resmi mağazalarda belirli düzeyde inceleme ve güvenlik kontrolleri vardır.
- Yaygın Olmayan Kurulum Türleri – Yan yükleme veya geliştirici modu gibi alışılmadık kurulum yöntemleri kullanan uzantılara dikkatle yaklaşılmalıdır. Bu yöntemler güvenlik önlemlerini atlayabilir ve kötü amaçlı yazılım riskini artırabilir.
- Ücretsiz Promosyon – Ücretli reklamlar tarafından yönlendirilmek gibi mali açıdan mantıklı olmayan bir şekilde ücretsiz olarak tanıtılan uzantılar şüpheli etkinliğin işareti olabilir. Bir uzantının neden ücretsiz olarak sunulduğunu ve bunun gizli amaçları olup olmadığını düşünün.
Raporun kendisi, herhangi bir güvenlik veya BT uzmanının okuması gereken ek bilgiler içermektedir. Buna dikkat edilmesi gereken riskli tarayıcı uzantısı izinleri, tarayıcı uzantısı saldırı vektörü, azaltma teknikleri ve daha fazlası dahildir. Siber güvenlik, değişen tehditleri kabul etmek, uyarlamak ve bunlara yanıt vermekle ilgilidir ve günümüzde kötü amaçlı tarayıcı uzantıları dikkatimizi gerektirmektedir.
Raporun tamamını okumak için buraya tıklayın.