نقص‌های افزونه‌های Chrome میلیون‌ها حساب کاربری را به خطر می‌اندازد

تنها یک افزونه مخرب Chrome، داده‌های شما را در معرض خطر قرار می‌دهد.

محققان امنیتی نقص‌هایی را در افزونه‌ها پیدا کرده‌اند که باعث نشت داده‌های خصوصی به وب‌سایت‌های خارجی می‌شود. وجود یک افزونه ضعیف در میلیون‌ها دستگاه، به مهاجمان اجازه می‌دهد تا هنگام بازدید شما از یک سایت مخرب، حساب‌های کاربری شما را کنترل کنند.

ابعاد این خطر بسیار گسترده است.

  • Chrome ۶۵٪ از بازار مرورگرها را در اختیار دارد.
  • Chrome Web Store بیش از ۲۵۰,۰۰۰ افزونه دارد.
  • یک نقص واحد می‌تواند به طور همزمان تعداد بسیار زیادی از افراد را تحت تأثیر قرار دهد.

چرا این موضوع برای شما اهمیت دارد:

افزونه‌ها اغلب اجازه می‌خواهند تا داده‌های هر وب‌سایتی را که بازدید می‌کنید، بخوانند و تغییر دهند. این بدان معناست که یک افزونه می‌تواند جزئیات بانکی، ایمیل‌ها و داشبوردهای ابری شما را مشاهده کند.

مهاجمان از کوکی‌های نشست (session cookies) و توکن‌های سرقت شده استفاده می‌کنند. این کار به آن‌ها اجازه می‌دهد بدون داشتن رمز عبور شما، خود را به جای شما جا بزنند.

برای کسب‌وکارها، خطر حتی بیشتر است.

  • حملات مرورگر بسیاری از ابزارهای امنیتی را دور می‌زنند.
  • بیش از ۵۰٪ از افزونه‌های سازمانی از مجوزهای پرخطر استفاده می‌کنند.
  • افزونه‌های مدیریت‌نشده مانند حفره‌های امنیتی پنهان عمل می‌کنند.

نحوه عملکرد حمله:

یک مهاجم شکافی را بین یک افزونه و یک صفحه وب پیدا می‌کند. آن‌ها از یک سایت مخرب برای فعال کردن افزونه استفاده می‌کنند. سپس آن وب‌سایت از مجوزهای افزونه برای سرقت داده‌های شما یا انجام فعالیت‌هایی به نام شما استفاده می‌کند.

چگونه از خود محافظت کنید:

  • مرورگر و افزونه‌های خود را فوراً به‌روزرسانی کنید.
  • افزونه‌های نصب‌شده خود را بررسی کنید.
  • هر ابزاری را که روزانه از آن استفاده نمی‌کنید، حذف کنید.
  • مجوزهای هر افزونه را محدود کنید.

منبع: https://dev.to/n_suresh_b343f829399d982b/critical-chrome-extension-flaws-put-millions-of-browsers-at-risk-of-account-takeover-the-3720