نقص‌های افزونه‌های Chrome خطر تصاحب حساب‌ها را افزایش می‌دهند

Chrome ۶۵٪ از بازار جهانی مرورگرها را در اختیار دارد. Chrome Web Store شامل بیش از ۲۵۰,۰۰۰ افزونه است. یک افزونه مخرب می‌تواند میلیون‌ها نفر را تحت تأثیر قرار دهد.

محققان امنیتی نقص‌هایی را در بسیاری از افزونه‌ها پیدا کرده‌اند. این نقص‌ها به وب‌سایت‌های خارجی اجازه می‌دهند داده‌های شما را سرقت کنند. مهاجمان از این شکاف‌ها برای تصاحب حساب‌های شما استفاده می‌کنند.

نحوه عملکرد حمله:

  • افزونه‌ها اغلب اجازه دسترسی برای خواندن و تغییر داده‌ها در تمام وب‌سایت‌ها را درخواست می‌کنند.
  • این اجازه به افزونه اجازه می‌دهد جزئیات بانکی، ایمیل‌ها و حساب‌های ابری شما را مشاهده کند.
  • یک وب‌سایت مخرب از یک افزونه ضعیف برای اجرای دستورات استفاده می‌کند.
  • وب‌سایت به افزونه دستور می‌دهد که داده‌ها را فراخوانی کرده یا کوکی‌ها را سرقت کند.
  • مهاجمان از این کوکی‌های نشست (session cookies) سرقت‌شده برای جعل هویت شما استفاده می‌کنند.
  • آن‌ها بدون نیاز به رمز عبور، وارد حساب شما می‌شوند.

خطر برای کسب‌وکارها بسیار بالاست. بسیاری از شرکت‌ها از افزونه‌های مدیریت‌نشده استفاده می‌کنند که به آن shadow IT گفته می‌شود. بیش از ۵۰٪ از افزونه‌های سازمانی دارای مجوزهای سطح بالا یا حیاتی هستند. این حملات اغلب از دفاع‌های امنیتی استاندارد عبور می‌کنند.

چگونه از خود محافظت کنید:

  • بلافاصله پس از انتشار وصله‌ها (patches)، مرورگر و افزونه‌های خود را به‌روزرسانی کنید.
  • مجوزهای هر افزونه‌ای را که نصب می‌کنید، بررسی و حسابرسی کنید.
  • افزونه‌هایی را که روزانه از آن‌ها استفاده نمی‌کنید، حذف کنید.
  • با افزونه‌ها به عنوان بخشی از سطح امنیتی خود برخورد کنید.
  • برای مطلع ماندن، اخبار مربوط به تهدیدات امنیت سایبری را دنبال کنید.

هوشیار باشید. افزونه‌های کوچک، ریسک‌های بزرگی ایجاد می‌کنند.

منبع: https://dev.to/n_suresh_b343f829399d982b/critical-chrome-extension-flaws-put-millions-of-browsers-at-risk-of-account-takeover-the-3720

انجمن یادگیری اختیاری: https://t.me/GyaanSetuAi