פרצות בתוספי Chrome מסכנות מיליוני חשבונות
תוסף Chrome אחד רע מסכן את הנתונים שלך.
חוקרי אבטחה מצאו פרצות בתוספים המדליפים נתונים פרטיים לאתרים חיצוניים. תוסף אחד חלש במיליוני מכשירים מאפשר לתוקפים להשתלט על החשבונות שלך בזמן שאתה מבקר באתר זדוני.
היקף הסיכון הזה הוא עצום.
- Chrome מחזיק ב-65% משוק הדפדפנים.
- ב-Chrome Web Store יש למעלה מ-250,000 תוספים.
- פרצה אחת משפיעה על מספר עצום של אנשים בבת אחת.
למה זה חשוב לך:
תוספים מבקשים לעיתים קרובות הרשאה לקרוא ולשנות נתונים בכל אתר שבו אתה מבקר. המשמעות היא שתוסף יכול לראות את פרטי הבנק שלך, את האימיילים שלך ואת לוחות הבקרה (dashboards) בענן.
תוקפים משתמשים בעוגיות סשן (session cookies) ובטוקנים (tokens) גנובים. זה מאפשר להם להתחזות אליך ללא הסיסמה שלך.
עבור עסקים, הסכנה גבוהה אף יותר.
- התקפות דפדפן עוקפות כלי אבטחה רבים.
- למעלה מ-50% מהתוספים הארגוניים משתמשים בהרשאות בסיכון גבוה.
- תוספים שאינם מנוהלים פועלים כחורי אבטחה נסתרים.
איך ההתקפה עובדת:
תוקף מוצא פער בין תוסף לבין דף אינטרנט. הם משתמשים באתר זדוני כדי להפעיל את התוסף. לאחר מכן, האתר משתמש בהרשאות של התוסף כדי לגנוב את הנתונים שלך או לבצע פעולות בשמך.
איך להגן על עצמך:
- עדכן את הדפדפן ואת התוספים שלך באופן מיידי.
- בצע ביקורת (audit) לתוספים המותקנים אצלך.
- הסר כל כלי שאינך משתמש בו מדי יום.
- הגבל את ההרשאות עבור כל תוסף.