Key Takeaways
- Sebagian besar ekstensi di Toko Web Chrome memerlukan izin berbahaya yang dapat disalahgunakan untuk tujuan jahat.
- Semua browser web mencoba mengatasi masalah ekstensi yang tidak patuh.
- Manifes V3 Google adalah salah satu solusi yang mengatasi beberapa masalah tetapi tidak banyak berpengaruh pada izin yang tersedia untuk ekstensi.
Ingat ekstensi peramban pemeriksa ejaan yang meminta izin untuk membaca dan menganalisis semua yang Anda ketik? Pakar keamanan siber memperingatkan bahwa ada kemungkinan besar beberapa ekstensi menyalahgunakan izin Anda untuk mencuri kata sandi yang Anda masukkan ke browser web.
Untuk membantu pengguna memahami bahaya ekstensi web, perusahaan keamanan digital Talon telah menganalisis Toko Web Chrome untuk melaporkan bahwa puluhan ribu ekstensi memiliki akses ke izin yang mengkhawatirkan, seperti kemampuan untuk mengubah data di semua situs yang dikunjungi, download file, akses aktivitas download, dan banyak lagi.
“Banyak ekstensi populer yang membahayakan pengguna,” salah satu pendiri dan CTO Talon Cyber Security Ohad Bobrov menjelaskan kepada Lifewire melalui email. “[Bahkan] ekstensi jinak mungkin memiliki kerentanan dalam kode mereka, atau rantai pasokan, dan dapat rentan terhadap pengambilalihan oleh aktor jahat.”
Ekstensi Wayward
Talon berpendapat bahwa ekstensi menawarkan nilai yang besar bagi penggunanya, dan membawa sejumlah fitur berguna ke browser web seperti pemblokiran iklan, pemeriksaan ejaan, manajemen kata sandi, dan banyak lagi. Namun, untuk menghadirkan fungsionalitas ini, ekstensi memerlukan izin luas untuk memodifikasi browser, perilakunya, dan situs web yang dikunjungi.
“Secara alami, tingkat kontrol dan akses dari aktor pihak ketiga ini dapat menimbulkan ancaman keamanan dan privasi yang signifikan bagi pengguna,” jelas Talon.
Perusahaan menambahkan bahwa terlepas dari proses pemeriksaan Google, banyak ekstensi berbahaya berhasil lolos dari celah dan akhirnya berdampak buruk pada jutaan pengguna. Analisisnya mengungkapkan bahwa lebih dari 60% dari semua ekstensi di Toko Web Chrome memiliki izin untuk membaca atau mengubah data dan aktivitas pengguna.
Misalnya, Talon mengatakan pemeriksa ejaan dan tata bahasa meminta izin untuk menyuntikkan skrip yang dijalankan dari konteks halaman web untuk menganalisis teks pengguna. Mereka melakukan ini biasanya dengan memeriksa bidang input atau mencatat penekanan tombol pengguna dengan cara lain. Perusahaan mengatakan ini secara efektif memungkinkan ekstensi untuk mengumpulkan dan mengekstrak informasi apa pun di halaman web, termasuk kata sandi dan data sensitif lainnya.
Lalu ada pemblokiran iklan, yang merupakan beberapa ekstensi teratas Toko Web Chrome. Fungsionalitas ini melibatkan penghapusan elemen dari halaman dan memerlukan izin yang sama seperti pemeriksa ejaan.
Tidak diketahui data apa yang dieksfiltrasi, tetapi berpotensi mencuri apa pun dari halaman mana pun, termasuk kata sandi.
Demikian pula, izin yang diberikan untuk berbagi layar, dan ekstensi konferensi video untuk melakukan tugas yang diinginkan, juga dapat disalahgunakan untuk menangkap layar dan audio pengguna.
"Dua kerentanan ditemukan di uBlock Origin dalam beberapa bulan terakhir, yang memungkinkan penyerang mengeksploitasi izin ekstensi untuk membaca dan mengubah data di semua situs dan mencuri informasi sensitif pengguna," kata Bobrov kepada kami.
"Pemblokir iklan seperti uBlock Origin sangat populer dan biasanya memiliki akses ke setiap halaman yang dikunjungi pengguna. Di balik layar, mereka didukung oleh daftar filter yang disediakan komunitas - pemilih CSS yang menentukan elemen mana yang akan diblokir. Ini daftar tidak sepenuhnya dipercaya, jadi mereka dibatasi untuk mencegah aturan jahat mencuri data pengguna, " tulis peneliti keamanan Gareth Heyes saat ia menunjukkan menggunakan kerentanan dalam ekstensi untuk mencuri kata sandi.
Bobrov juga membagikan bahwa pada tahun 2019 ekstensi The Great Suspender yang populer, yang memiliki lebih dari dua juta pengguna, dibeli oleh aktor jahat, yang kemudian mengeksploitasi izinnya untuk menyuntikkan skrip untuk menjalankan kode yang tidak ditinjau dan dihosting dari jarak jauh di halaman web.
"Tidak diketahui data apa yang dieksfiltrasi, " katanya, "tetapi data tersebut berpotensi mencuri apa pun dari halaman mana pun, termasuk kata sandi."
Tidak Ada Solusi Nyata
Bobrov mengatakan bahwa Chrome dan hampir semua browser web terkemuka lainnya bekerja untuk mengatasi risiko keamanan yang ditimbulkan oleh ekstensi, tidak hanya dengan meningkatkan proses pemeriksaannya tetapi juga dengan membatasi beberapa kemampuan ekstensi.
Salah satu langkah baru-baru ini yang ditunjukkan Bobrov adalah Manifest V3 Google. Dia mengatakan bahwa untuk rata-rata pengguna, perbedaan paling mencolok yang akan dibawa Manifest V3 ke ekstensi adalah larangan total pada kode yang dihosting dari jarak jauh dan perubahan cara ekstensi memodifikasi permintaan web. Namun, ia menambahkan bahwa pada sisi negatifnya, Manifest V3 telah dikritik karena sangat menghambat pemblokir iklan.
"Tren yang paling signifikan adalah menutup celah keamanan, meningkatkan visibilitas dan kontrol pengguna akhir (mis., situs mana yang mengizinkan ekstensi dijalankan), dan melarang kode yang tidak dapat ditinjau dari ekstensi, " kata Bobrov. "Beberapa dari perubahan ini tercakup dalam Manifest V3 Google. Namun, tidak satu pun dari perubahan ini yang secara dramatis mengubah izin yang tersedia untuk ekstensi."