Comprometer el navegador es un objetivo de alto rendimiento para los adversarios. Las extensiones del navegador, que son pequeños módulos de software que se agregan al navegador y pueden mejorar la experiencia de navegación, se han convertido en un vector de ataque popular para el navegador. Esto se debe a que son ampliamente adoptados entre los usuarios y pueden volverse maliciosos fácilmente a través de acciones de desarrolladores o ataques a extensiones legítimas.
Incidentes recientes como DatosSpii y el Nigelthorn Los ataques de malware han expuesto el alcance del daño que pueden infligir las extensiones maliciosas. En ambos casos, los usuarios instalaron inocentemente extensiones que comprometían su privacidad y seguridad. El problema de fondo radica en los permisos otorgados a las extensiones. Estos permisos, a menudo excesivos y carentes de granularidad, permiten a los atacantes explotarlos.
¿Qué pueden hacer las organizaciones para protegerse de los riesgos de las extensiones de navegador sin prohibir su uso (una ley que sería casi imposible de hacer cumplir)?
Un nuevo informe de LayerX, «Revelando la amenaza de las extensiones de navegador maliciosas» (descarga aquí), proporciona información detallada sobre el panorama de amenazas de las extensiones maliciosas del navegador, al tiempo que ofrece recomendaciones para mitigación.
El informe analiza el dominio de las extensiones maliciosas, centrándose en varios aspectos clave:
- Tipos de extensiones maliciosas
- Instalación: cómo las extensiones maliciosas obtienen acceso a los navegadores de los usuarios
- ¿Cuáles son los indicadores de extensiones potencialmente maliciosas?
- Los permisos críticos que pueden ser mal utilizados por extensiones maliciosas
- El vector de ataque de la extensión del navegador
- Métodos de mitigación
Profundicemos en algunos de los hallazgos clave del informe. El El informe completo se puede encontrar aquí..
Los 3 tipos de extensiones maliciosas
Las extensiones maliciosas se pueden clasificar en tres grupos principales:
1. Extensiones inicialmente maliciosas – Estas son extensiones creadas intencionalmente por actores maliciosos para causar. Estas extensiones podrían cargarse en tiendas web o alojarse en la infraestructura del atacante.
2. Extensiones comprometidas – Extensiones inicialmente legítimas que son compradas directamente por los adversarios o comprometidas por el atacante y utilizadas para actividades maliciosas.
3. Extensiones arriesgadas – Se trata de extensiones legítimas que, si bien no se crearon inicialmente con intenciones maliciosas, tienen permisos excesivos que pueden representar un riesgo para la seguridad.
Cómo y por qué se instalan las extensiones en el navegador
Las extensiones maliciosas pueden infiltrarse en el navegador de una víctima a través de varios métodos, cada uno con su propio conjunto de consideraciones de seguridad:
1. Instalación del administrador – Extensiones que los administradores de red distribuyen de forma centralizada, a menudo con la aprobación explícita de la organización.
La cuestión de seguridad crítica aquí es si estas extensiones son realmente necesarias dentro de la red corporativa y si plantean algún riesgo de seguridad. Es esencial evaluar cuidadosamente la necesidad de dichas extensiones y su impacto potencial en la seguridad de la red.
2. Instalación normal – Extensiones que los usuarios descargan desde las tiendas oficiales del navegador visitando la lista de extensiones. Este enfoque permite a los usuarios tomar decisiones independientes sobre qué extensiones instalar.
Si bien esto ofrece flexibilidad, este enfoque plantea la cuestión de la seguridad de los riesgos potenciales asociados con las elecciones de los empleados. Evaluar la popularidad y la seguridad de estas extensiones entre la fuerza laboral es vital para mantener un entorno de navegación seguro.
3. Instalación del desarrollador – Extensiones cargadas desde las computadoras locales de los empleados. Dado que estas extensiones se originan en las estaciones de trabajo de los empleados, omiten el proceso habitual de verificación del software instalado.
Es crucial examinar las implicaciones de seguridad de permitir a los empleados cargar archivos de extensión descomprimidos directamente desde sus máquinas para evitar riesgos potenciales.
4. Instalación de carga lateral – Este método implica que aplicaciones de terceros, como Adobe u otros proveedores de software, instalen extensiones. Desafortunadamente, es la opción menos segura, ya que los adversarios pueden aprovecharla fácilmente para instalar extensiones maliciosas sin que el usuario se dé cuenta.
Evaluar cómo estas aplicaciones interactúan con los navegadores y el acceso y permisos que otorgan a las extensiones es esencial para mitigar los riesgos de seguridad.
LayerX ha identificado la siguiente distribución de tipos de instalación en función de sus datos de usuario. Como se puede observar, la mayoría, el 81% de las extensiones, las instalan los usuarios descargándolas desde las tiendas oficiales del navegador.
Indicadores de extensiones potencialmente maliciosas
Dada la gran popularidad de los usuarios que descargan extensiones ellos mismos, es importante tener cuidado y capacitar a los empleados para identificar qué extensiones podrían ser potencialmente maliciosas. Algunos de los principales indicadores incluyen:
- Dirección y correo electrónicol – La dirección de contacto o el correo electrónico de un desarrollador que falta en la lista de Chrome Web Store genera preocupaciones sobre la falta de responsabilidad. Es esencial saber quién está detrás de la extensión.
- Última actualización – La frecuencia de las actualizaciones refleja posibles riesgos de seguridad y compatibilidad. Las extensiones obsoletas pueden ser más vulnerables a las amenazas a la seguridad y es posible que no funcionen correctamente con las últimas versiones del navegador.
- política de privacidad – La ausencia de una política de privacidad en la lista de la Tienda web podría indicar posibles problemas con la forma en que la extensión maneja los datos y la privacidad del usuario. Las extensiones confiables son transparentes sobre sus prácticas de datos.
- Clasificación – Las calificaciones de los usuarios brindan información sobre la calidad general de una extensión y la satisfacción del usuario. Las calificaciones más altas suelen indicar una extensión más segura y confiable.
- Calificar usuarios – También importa el número de valoraciones de los usuarios. Por lo general, más calificaciones significan una base de usuarios más grande y un menor riesgo de encontrar problemas o problemas de seguridad.
- Sitio de soporte – La presencia de un sitio de soporte asociado con la extensión en la Tienda Web permite a los usuarios buscar asistencia. La falta de información de soporte puede ser una señal de alerta.
- Número de usuarios – Las extensiones más utilizadas suelen ser opciones más seguras. Una cantidad baja de usuarios puede afectar el soporte y sugerir una menor confiabilidad.
- Sitio web – La existencia de un sitio web oficial asociado a la extensión puede proporcionar información y recursos adicionales. La falta de un sitio web puede significar falta de transparencia o documentación adicional.
- Tiendas no oficiales – Si una extensión no está disponible en ninguna tienda oficial del navegador (por ejemplo, Chrome Web Store), podría representar un riesgo potencial. Las tiendas oficiales tienen cierto nivel de investigación y controles de seguridad.
- Tipos de instalación poco comunes – Las extensiones que utilizan métodos de instalación inusuales, como la carga lateral o el modo desarrollador, deben abordarse con precaución. Estos métodos pueden eludir las medidas de seguridad y aumentar el riesgo de malware.
- Promoción gratuita – Las extensiones promocionadas como gratuitas de una manera que no tiene sentido financiero, como por ejemplo mediante anuncios pagos, podrían ser una señal de actividad sospechosa. Considere por qué se ofrece una extensión de forma gratuita y si podría tener motivos ocultos.
El informe en sí contiene información adicional que es de lectura obligada para cualquier profesional de seguridad o de TI. Esto incluye permisos de extensión de navegador riesgosos a tener en cuenta, el vector de ataque de la extensión del navegador, técnicas de mitigación y más. La ciberseguridad consiste en reconocer, adaptar y responder a las amenazas cambiantes, y las extensiones maliciosas de los navegadores exigen nuestra atención hoy en día.
Para leer el informe completo, haga clic aquí.