Các sự cố gần đây như vụ rò rỉ dữ liệu DataSpii và cuộc tấn công bằng phần mềm độc hại Nigelthorn đã cho thấy mức độ thiệt hại mà các tiện ích mở rộng độc hại có thể gây ra. Trong cả hai trường hợp, người dùng đã vô tình cài đặt các tiện ích mở rộng làm ảnh hưởng đến quyền riêng tư và bảo mật của họ. Vấn đề cơ bản nằm ở các quyền được cấp cho các tiện ích mở rộng. Những quyền này cho phép kẻ tấn công có thể chiếm quyền điều khiển và thực hiện các hành vi khai thác.

Bài viết này sẽ tập trung vào một số khía cạnh chính được đề cập trong báo cáo của LayerX Security.

Phân loại các tiện ích mở rộng độc hại

Các tiện ích mở rộng độc hại có thể được phân loại thành ba nhóm chính:

1. Tiện ích mở rộng độc hại ban đầu: Đây là các tiện ích được các tác nhân độc hại tạo ra và được phân phối thông qua các cửa hàng trực tuyến hoặc được lưu trữ trên cơ sở hạ tầng của kẻ tấn công.

2. Tiện ích mở rộng bị xâm phạm: Các tiện ích mở rộng hợp pháp được kẻ tấn công trực tiếp mua hoặc bị xâm phạm và được sử dụng cho các mục đích độc hại.

3. Rủi ro tiện ích mở rộng: Đây là những tiện ích mở rộng hợp pháp, mặc dù ban đầu không được tạo ra với mục đích xấu nhưng lại có quá nhiều quyền có thể gây ra rủi ro bảo mật.

Cách thức tiện ích mở rộng được cài đặt trên trình duyệt

Các tiện ích mở rộng độc hại có thể xâm nhập vào trình duyệt của nạn nhân thông qua nhiều phương pháp khác nhau, mỗi phương pháp đều có những cân nhắc về bảo mật riêng:

1. Cài đặt của quản trị viên: Các tiện ích mở rộng được quản trị viên công nghệ thông tin phân phối và cài đặt tập trung trong môi trường hệ thống mạng doanh nghiệp, thường có sự phê duyệt rõ ràng của các cấp lãnh đạo. Câu hỏi bảo mật quan trọng ở đây là liệu những tiện ích mở rộng này có thực sự cần thiết trong hệ thống mạng của tổ chức, doanh nghiệp và liệu chúng có gây ra bất kỳ rủi ro bảo mật nào không. Điều cần thiết là phải đánh giá cẩn thận sự cần thiết của các tiện ích như vậy và tác động tiềm tàng của chúng đối với vấn đề an toàn thông tin.

2. Cài đặt dành cho nhà phát triển: Các tiện ích mở rộng được tải từ máy tính cục bộ của nhân viên. Vì các tiện ích này bắt nguồn từ máy trạm nên chúng thường bỏ qua quy trình kiểm tra thông thường đối với phần mềm đã cài đặt.

3. Cài đặt từ người dùng thông thường: Các tiện ích mở rộng mà người dùng tải xuống từ các cửa hàng trình duyệt chính thức bằng cách truy cập danh sách tiện ích mở rộng. Cách tiếp cận này cho phép người dùng đưa ra các lựa chọn độc lập về việc cài đặt tiện ích mở rộng nào.

4. Cài đặt Sideload: Phương pháp này liên quan đến việc cài đặt các ứng dụng của bên thứ ba, chẳng hạn như Adobe hoặc các nhà cung cấp phần mềm khác. Tuy nhiên, đây là tùy chọn kém an toàn nhất vì nó có thể dễ dàng bị kẻ tấn công khai thác để cài đặt các tiện ích mở rộng độc hại mà người dùng không hề hay biết.

Dấu hiệu của các tiện ích mở rộng có khả năng độc hại

Địa chỉ và email: Địa chỉ liên hệ hoặc email của nhà phát triển bị thiếu thông tin trong danh sách cửa hàng Chrome trực tuyến có thể gây lo ngại về việc thiếu trách nhiệm. Điều cần thiết là phải biết thông tin về tác giả của các tiện ích mở rộng này.

Thời gian cập nhật: Tần suất cập nhật phản ánh các rủi ro tiềm ẩn về bảo mật và khả năng tương thích. Các tiện ích mở rộng lỗi thời có thể dễ gặp phải các mối đe dọa bảo mật hơn và có thể không hoạt động chính xác với các phiên bản trình duyệt mới nhất.

Chính sách quyền riêng tư: Việc không có chính sách quyền riêng tư trong danh sách cửa hàng trực tuyến có thể chỉ ra các rủi ro về cách tiện ích mở rộng xử lý dữ liệu và quyền riêng tư của người dùng. Các tiện ích mở rộng đáng tin cậy sẽ minh bạch về hoạt động xử lý dữ liệu của họ.

Chỉ số đánh giá và xếp hạng: Đánh giá và xếp hạng của người dùng cung cấp thông tin chi tiết về chất lượng tổng thể của tiện ích mở rộng và mức độ hài lòng của người dùng. Thông tin xếp hạng của tiện ích nào cao hơn thường cho thấy tiện ích đó có thể an toàn và đáng tin cậy hơn.

Trang web hỗ trợ: Sự hiện diện của trang web hỗ trợ được liên kết với tiện ích mở rộng trên cửa hàng trực tuyến cho phép người dùng tìm kiếm sự giúp đỡ khi cần thiết. Việc thiếu thông tin về thông tin này có thể là một dấu hiệu cảnh báo mà người dùng cần lưu ý.

Số lượng người dùng: Các tiện ích mở rộng được sử dụng phổ biến và rộng rãi thường là những sự lựa chọn an toàn hơn. Số lượng người dùng ít hơn có thể ảnh hưởng đến việc hỗ trợ và cho thấy độ tin cậy thấp hơn đối với tiện ích đó.

Trang web: Sự tồn tại của một trang web chính thức được liên kết với tiện ích mở rộng có thể cung cấp thêm thông tin và tài nguyên. Việc thiếu thông tin trang web có thể biểu thị sự thiếu minh bạch hoặc thiếu tài liệu bổ sung.

Cửa hàng không chính thức: Nếu tiện ích mở rộng không có sẵn trong bất kỳ cửa hàng trình duyệt chính thức nào (ví dụ: cửa hàng Chrome trực tuyến), thì đó có thể là một rủi ro tiềm ẩn.

Các loại cài đặt không phổ biến: Cần thận trọng khi tiếp cận các tiện ích mở rộng sử dụng các phương pháp cài đặt bất thường như sideloading hoặc chế độ nhà phát triển (developer). Những phương pháp này có thể bỏ qua các biện pháp bảo mật và làm tăng nguy cơ lây nhiễm phần mềm độc hại.

Ngoài những khía cạnh được đề cập trong bài viết này, báo cáo của LayerX Security còn bao gồm một số thông tin khác như các quyền quan trọng có thể bị các tiện ích mở rộng độc hại lạm dụng, loại vectơ tấn công, các kỹ thuật giảm thiểu,… có thể hỗ trợ hiệu quả cho các chuyên gia bảo mật, quản trị viên hệ thống cũng như người dùng cá nhân trong việc chủ động đối phó với các mối đe dọa tiện ích mở rộng độc hại trên trình duyệt ngày nay.