Yeni bir araştırma, kuruluşların çalışanlarına Google Workspace ve Microsoft 365 gibi SaaS uygulamalarıyla çalışırken kullanmalarına izin verdiği birçok tarayıcı uzantısının yüksek düzeyde içeriğe erişim sağladığını ve veri hırsızlığı ve uyumluluk sorunları gibi riskler sunduğunu ortaya çıkardı.
Spin.AI’deki araştırmacılar yakın zamanda kurumsal ortamlarda kullanılan yaklaşık 300.000 tarayıcı uzantısı ve üçüncü taraf OAuth uygulaması üzerinde bir risk değerlendirmesi gerçekleştirdi. Odak noktası, Google’ın Chrome’u ve Microsoft’un Edge’i gibi birden fazla tarayıcıdaki Chromium tabanlı tarayıcı uzantılarıydı.
Yüksek Riskli Uzantılar
Çalışma, kurulu tüm uzantıların %51’inin yüksek riskli olduğunu ve bunları kullanan kuruluşlara büyük zarar verme potansiyeline sahip olduğunu gösterdi. Uzantıların tümü, kurumsal uygulamalardan hassas verileri yakalama, kötü amaçlı JavaScript çalıştırma ve banka ayrıntıları ve oturum açma kimlik bilgileri dahil olmak üzere korumalı verileri harici taraflara gizlice gönderme yeteneğine sahipti.
Çoğu uzantı — %53 — O Döndürme değerlendirildi verimlilikle ilgili uzantılardı. Ancak en azından güvenlik ve gizlilik açısından en kötüsü, bulut yazılım geliştirme ortamlarında kullanılan tarayıcı uzantılarıydı: Spin bunların %56’sını yüksek güvenlik riski olarak değerlendirdi.
Bu hafta yayınlanan raporun yazarlarından biri olan Davit Asatryan, “Bu raporun kuruluşlar için ana çıkarımı, tarayıcı uzantılarıyla ilişkili önemli siber güvenlik riskleridir” diyor. “Bu uzantılar, kullanıcı deneyimini ve üretkenliğini geliştirmeye yönelik çeşitli özellikler sunarken, Chrome ve Edge gibi tarayıcılarda depolanan veriler veya Google Workspace ve Microsoft 365 gibi platformlarda depolanan SaaS verileri için ciddi tehditler oluşturabilir” diyor.
Bunun bir örneği, bir tehdit aktörünün meşru ChatGPT tarayıcı eklentisi olduğu iddia edilen ancak gerçekte Facebook hesaplarını ele geçiren bir Truva atı olan bir tarayıcı uzantısını yüklediği yakın zamanda yaşanan bir olaydır. Binlerce kullanıcı uzantıyı yükledi ve Facebook hesap bilgileri anında çalındı. Ele geçirilen hesaplar birkaç bin işletme hesabını içeriyordu.
Google, silah haline getirilmiş uzantıyı resmi Chrome Mağazasından hızla kaldırdı. Ancak bu, başkalarının diğer ChatGPT uzantılarını aynı mağazaya serbestçe yüklemesini engellemedi: Spin, Mayıs ayında yalnızca 11’e kıyasla, Ağustos ayında Chrome web mağazasında 200’den fazla ChatGPT uzantısı buldu.
Gevşek Kontroller
Spin’in analizi, 2.000’den fazla çalışanı olan kuruluşların ortalama 1.454 yüklü uzantıya sahip olduğunu gösterdi. Bunlar arasında en yaygın olanları üretkenlikle ilgili uzantılar, geliştiricilere yardımcı olan araçlar ve daha iyi erişilebilirlik sağlayan uzantılardı. Bu uzantıların üçte birinden fazlası (%35), 2.000’den az çalışanı olan kuruluşlardaki %27’ye kıyasla yüksek risk taşıyordu.
Spin’in raporundan elde edilen şaşırtıcı sonuçlardan biri, kuruluşların herhangi bir potansiyel güvenlik açığını dikkate almadan özgürce kullandığı görünen, anonim yazarların yer aldığı nispeten yüksek sayıda (42.938) tarayıcı uzantısıdır. Asatryan, istatistiğin, kötü niyetli herkesin bir uzantıyı ne kadar kolay yayınlayabildiği göz önüne alındığında özellikle endişe verici olduğunu söylüyor. Daha da kötüsü, bazı durumlarda kuruluşların kullandığı tarayıcı uzantılarının resmi bir pazarın dışından temin edilmiş olmasıdır.
Asatryan, “Şirketler bazen dahili kullanım için kendi uzantılarını da oluşturup yüklüyorlar” diyor. “Ancak, bu kaynaklardan gelen uzantılar, resmi mağazalarda bulunanlarla aynı düzeyde inceleme ve güvenlik kontrollerinden geçmeyebileceğinden bu durum ek risk oluşturabilir.”
Spin, tarayıcıların başlangıçtan itibaren kötü olabileceğini veya bazen otomatik güncellemeler yoluyla kötü niyetli nitelikler kazanabileceğini buldu. Bu, bir saldırganın bir kuruluşun tedarik zincirine sızıp yasal bir güncellemeye kötü amaçlı kod eklemesi durumunda gerçekleşebilir. Geliştiriciler ayrıca uzantılarını diğer üçüncü taraflara da satabilir ve bu kişiler daha sonra onu kötü amaçlı özelliklerle güncelleyebilir.
Kuruluşların dikkate alması gereken diğer bir faktör, bir tarayıcı uzantısının beklenmedik şekillerde davranmak için izinlerini nasıl kullanabileceğidir. Asatryan, “Örneğin, bir uzantı ‘kimlik’ izni alabilir ve ardından bu bilgiyi üçüncü tarafa göndermek için ‘web isteği’ iznini kullanabilir” diyor.
Kuruluşların üçüncü taraf risk yönetimi çerçevelerine dayalı politikalar oluşturup uygulamalarının önemli olduğunu belirtiyor. Uzantıları ve uygulamaları operasyonel, güvenlik, gizlilik ve uyumluluk riskleri açısından değerlendirmeleri ve kurumsal politikalara göre uzantılara izin veren veya bunları engelleyen otomatik kontroller uygulamayı düşünmeleri gerekiyor.
Asatryan, “Kuruluşların, tarayıcı uzantılarını yüklemeden önce, uzantının talep ettiği izinlerin kapsamı, geliştiricinin itibarı ve güvenlik veya uyumluluk denetimlerinin açıklanması gibi faktörleri dikkate alarak değerlendirmelerini öneriyoruz” diyor. Düzenli güncellemeler ve bakım, kullanıcı incelemeleri ve derecelendirmeleri ile her türlü veri ihlali veya güvenlik olayı geçmişi kadar önemlidir.