وجد باحثون في جامعة ستانفورد في الولايات المتحدة ومركز CISPA Helmholtz لأمن المعلومات في ألمانيا أن الخطر الذي تشكله ملحقات المتصفح أكبر بكثير مما تعترف به قوقل.
قام أكثر من 346 مليون مستخدم بتثبيت امتدادات غير مرغوب فيها خلال السنوات الثلاث الماضية (280 مليون امتداد ضار، و63 مليون انتهاك لسياسات الاستخدام، وثلاثة ملايين امتداد ضعيف)،" حسبما يدعي المؤلفون. "بالإضافة إلى ذلك، فإن هذه الامتدادات تظل في متجر ويب كروم لسنوات، مما يجعل التحقق الدقيق من الامتدادات وإعلام المستخدمين المتأثرين أمرًا ضروريًا بشكل أكبر".
بواسطة: The Register
قدمت شركة جوجل هذا الأسبوع تطمينات بأن فحصها لإضافات كروم يكشف معظم التعليمات البرمجية الضارة، حتى مع اعترافها بأنه "كما هو الحال مع أي برنامج، يمكن للإضافات أيضًا أن تشكل مخاطر".
من قبيل الصدفة، قام ثلاثة من الباحثين التابعين لجامعة ستانفورد في الولايات المتحدة ومركز CISPA Helmholtz لأمن المعلومات في ألمانيا بنشر ورقة بحثية حول بيانات سوق كروم الإلكتروني الحديثة التي تشير إلى أن الخطر الذي تشكله ملحقات المتصفح أكبر بكثير مما تعترف به قوقل.
من المقرر تقديم الورقة البحثية ، "ماذا يوجد في سوق كروم الإلكتروني؟ التحقيق في ملحقات المتصفح الجديرة بالملاحظة،" في مؤتمر ACM Asia حول أمن الكمبيوتر والاتصالات (ASIA CCS '24) في يوليو.
في يوم الخميس، في قوقل، ادعى بنيامين أكرمان وأنونوي غوش وديفيد وارين من فريق Chrome Security ، "في عام 2024، تم العثور على أقل من واحد بالمائة من جميع عمليات التثبيت من سوق Chrome الإلكتروني تتضمن برامج ضارة. نحن فخورون بـ هذا السجل ومع ذلك لا تزال هناك بعض الملحقات السيئة التي يتم اختراقها، ولهذا السبب نقوم أيضًا بمراقبة الملحقات المنشورة."
حسنًا، تبين أن "بعض الامتدادات السيئة" كثيرة جدًا، كما تم تعريفها وقياسها من قبل الباحثين شيريل هسو، وماندا تران، وأورور فاس. وكما وصفوا في ورقتهم البحثية، فإن الامتدادات الجديرة بالملاحظة الأمنية (SNE) لا تزال تمثل مشكلة خطيرة.
يتم تعريف SNE على أنه امتداد يحتوي على برامج ضارة، أو ينتهك سياسة سوق Chrome الإلكتروني، أو يحتوي على تعليمات برمجية ضعيفة. إنها بالتالي فئة أكثر اتساعًا من مجرد مجموعة من الملحقات الضارة.
لطالما كانت ملحقات المتصفح مصدر قلق لأنها تتمتع بإمكانية الوصول إلى المعلومات الحساسة. وقد يتمكنون من رؤية البيانات التي تدخل أو تخرج من متصفح الويب الخاص بك، اعتمادًا على الأذونات الممنوحة لهم. لقد تم استخدامها من قبل المجرمين لنشر البرامج الضارة، وتتبع المستخدمين والتجسس عليهم، وسرقة البيانات. ولكن نظرًا لأن معظم الإضافات مجانية، لم يكن هناك الكثير من تدفق الإيرادات الذي يمكن لمشغلي متجر المتصفحات استخدامه لتمويل الأمن.
لكن لا يمكن تجاهل أمان الامتداد. أحد الأسباب التي دفعت جوجل إلى بذل جهودها لإعادة تعريف بنية امتدادات المتصفح الخاصة بها منذ عدة سنوات - وهي مبادرة تُعرف باسم Manifest v3 - كان الحد من الإمكانات المسيئة للإضافات.
ومع ذلك، فإن متجر Chrome Web Store، على الرغم من الجهود التي تبذلها Google، كان مليئًا جيدًا بإضافات محفوفة بالمخاطر، وفقًا للباحثين.
تمثل أنظمة الامتدادات غير المرغوب SNE هذه مشكلة كبيرة: حيث قام أكثر من 346 مليون مستخدم بتثبيت SNE في السنوات الثلاث الماضية
"لقد وجدنا أن هذه الامتدادات غير المرغوب فيها تشكل مشكلة كبيرة: لقد قام أكثر من 346 مليون مستخدم بتثبيت امتدادات غير مرغوب فيها خلال السنوات الثلاث الماضية (280 مليون امتداد ضار، و63 مليون انتهاك لسياسات الاستخدام، وثلاثة ملايين امتداد ضعيف)،" حسبما يدعي المؤلفون. "بالإضافة إلى ذلك، فإن هذه الامتدادات تظل في متجر ويب كروم لسنوات، مما يجعل التحقق الدقيق من الامتدادات وإعلام المستخدمين المتأثرين أمرًا ضروريًا بشكل أكبر".
قام المؤلفون بجمع وتحليل البيانات من ملحقات Chrome المتاحة في الفترة ما بين 5 يوليو 2020 و14 فبراير 2023، وفي ذلك الوقت كان هناك ما يقرب من 125000 ملحق متاح في سوق Chrome الإلكتروني. لذا فإن هذه النتائج لا تعكس بالضرورة الوضع الحالي لسوق Chrome الإلكتروني.
ووجد الباحثون أن إضافات كروم لا تبقى في كثير من الأحيان لفترة طويلة: "فقط 51.86 إلى 62.98 بالمائة من الإضافات تظل متاحة بعد عام واحد"، كما تقول الورقة.
لكن الإضافات الضارة يمكن أن تكون دائمة أيضًا. تظل SNEs في متجر Chrome Web Store لمدة 380 يومًا في المتوسط، إذا كانت تحتوي على برامج ضارة، و1248 يومًا إذا كانت تحتوي ببساطة على تعليمات برمجية ضعيفة، وفقًا للورقة البحثية. أطول امتداد خبيث بقي متاحًا في المتجر لمدة 8.5 سنوات.
وزعمت الصحيفة أنه "تم تحديث هذا الامتداد، TeleApp، آخر مرة في 13 ديسمبر 2013، وتبين أنه يحتوي على برامج ضارة في 14 يونيو 2022". "هذا يمثل مشكلة كبيرة، لأن مثل هذه الملحقات تعرض أمان وخصوصية مستخدميها للخطر لسنوات."
ويشير الباحثون أيضًا إلى أن نظام تصنيف المتجر لا يبدو فعالاً في فصل الإضافات الجيدة عن الإضافات السيئة. وذلك لأن تقييمات المستخدم لـ SNEs الضارة لا تختلف بشكل كبير عن الامتدادات الحميدة.
يقول المؤلفون: "بشكل عام، لا يمنح المستخدمون SNE تقييمات أقل، مما يشير إلى أن المستخدمين قد لا يدركون أن مثل هذه الامتدادات خطيرة". "بالطبع، من الممكن أيضًا أن تقدم الروبوتات تقييمات زائفة وتقييمات عالية لتلك الامتدادات. ومع ذلك، وبالنظر إلى أن نصف SNE ليس لديها مراجعات، فيبدو أن استخدام المراجعات المزيفة ليس منتشرًا على نطاق واسع في هذه الحالة."
وعلى أية حال، كما يقولون، فإن عدم جدوى مراجعات المستخدمين كدليل للجودة يسلط الضوء على الحاجة إلى مزيد من الرقابة من جانب جوجل.
أحد الاقتراحات التي قدمها المؤلفون هو أن تقوم Google بمراقبة الامتدادات للتأكد من تشابه التعليمات البرمجية. لقد وجدوا الآلاف من الإضافات التي تشترك في تعليمات برمجية مماثلة، ويشيرون إلى أنها ممارسة سيئة بشكل عام. يمكن أن يؤدي النسخ واللصق من Stack Overflow، أو أخذ النصائح من مساعدي الذكاء الاصطناعي، أو مجرد تنفيذ نموذج معياري أو مكتبات قديمة إلى نشر تعليمات برمجية ضعيفة.
"على سبيل المثال، يستخدم ما يقرب من 1000 ملحق مشروع Extensionizr مفتوح المصدر، ولا يزال 65-80 بالمائة منها يستخدم إصدارات المكتبات الافتراضية والضعيفة التي تم حزمها في البداية مع الأداة، قبل ست سنوات"، كما لاحظ المؤلفون.
ويشيرون أيضًا إلى "النقص الحاد في الصيانة" لإضافات سوق Chrome الإلكتروني - حيث لم يتم تحديث ما يقرب من 60 بالمائة من الإضافات مطلقًا، مما يعني أنها تفوت التحسينات الأمنية مثل تلك المضمنة في مراجعة النظام الأساسي Manifest v3.
على الرغم من أن اكتشاف الإضافات الضعيفة أمر بالغ الأهمية، إلا أننا نحتاج أيضًا إلى حوافز أفضل لتشجيع ودعم المطورين لإصلاح الثغرات الأمنية
ويعني نقص الصيانة أن الملحقات قد تبقى في المتجر لسنوات بعد الكشف عن الثغرات الأمنية. يقول الباحثون: "ما لا يقل عن 78/184 امتدادًا (42 بالمائة) لا يزال موجودًا في CWS ولا يزال عرضة للخطر بعد عامين من الكشف عنه". "وهذا يوضح أنه على الرغم من أن اكتشاف الإضافات الضعيفة أمر بالغ الأهمية، إلا أننا نحتاج أيضًا إلى حوافز أفضل لتشجيع ودعم المطورين لإصلاح الثغرات الأمنية بعد الكشف عنها."
وتتضمن العديد من الإضافات مكتبات جافا سكريبت الضعيفة. وجد الفريق أن ثلث الإضافات (حوالي 40.000) تستخدم مكتبة JavaScript ذات ثغرة أمنية معروفة. ويزعمون: "لقد اكتشفنا أكثر من 80 ألف استخدام للمكتبات الضعيفة، مما أثر على ما يقرب من 500 مليون مستخدم للامتدادات".
قالت شيريل هسو، وهي باحثة جامعية في جامعة ستانفورد ومؤلفة مشاركة في البحث، لموقع The Register في رسالة بالبريد الإلكتروني إنها تعتقد أن أمن البيانات يتحسن. وقالت: "أعتقد أننا أصبحنا أكثر وعياً بالمخاطر الآن (خاصة بفضل العديد من الباحثين الذين اكتشفوا نقاط الضعف) مقارنة بما كان عليه الحال قبل 10 سنوات عندما كانت التمديدات قد بدأت للتو".
وقالت هسو إنها تعتقد أن وضع علامة على الامتدادات التي تم تحديثها أو التي تحتوي على مكتبات معرضة للخطر سيكون أمرًا جديرًا بالاهتمام.
"ولكن من المهم أيضًا توخي بعض الحذر نظرًا لأن الأشياء التي لم يتم تحديثها قد لا تكون عرضة للخطر (على سبيل المثال، تطبيق بسيط للغاية لا يحتاج حقًا إلى التحديث على الإطلاق) ولمجرد أن الإضافة تستخدم بعض المكتبات الضعيفة لا وقالت: "يعني أنه يمكن استغلال الثغرة الأمنية". "يعتمد الأمر حقًا على أجزاء المكتبة التي يستخدمها الامتداد.
"أعتقد أن الجزء الصعب من الأمن السيبراني هو دائمًا معرفة كيفية منح المستخدم المعلومات الصحيحة لاتخاذ خيارات مستنيرة، ولكننا ندرك أيضًا أن الكثير من المستخدمين ليس لديهم المعرفة التقنية أو الوقت للتعمق في أشياء مثل هذه."
وأضاف هسو: "أعتقد أن إلغاء تنشيط Manifest v2 من شأنه أن يساعد بالتأكيد في حل هذه المشكلات، وآمل أن يفعلوا ذلك قريبًا."
من المقرر أن تتوقف ملحقات Chrome Manifest v2 عن العمل في إصدار الإصدار العام من Chrome (القناة الثابتة) في بداية عام 2025، باستثناء المزيد من التأخير.
صرح متحدث باسم Google لصحيفة The Register يوم الجمعة:
نحن نقدر عمل مجتمع البحث، ونرحب دائمًا بالاقتراحات حول طرق الحفاظ على أمان سوق Chrome الإلكتروني. نحن نتفق على أن الملحقات غير الخاضعة للصيانة غالبًا ما تكون أقل أمانًا، وهذا أحد الأسباب التي تجعلنا نتخذ خطوات لإزالة الدعم لملحقات Manifest V2 القديمة. يعالج Manifest V3 العديد من المخاوف التي أبرزها التقرير، بما في ذلك المخاطر التي تشكلها التعليمات البرمجية المستضافة عن بعد، لذلك يسعدنا أن نرى الباحثين يدعمون أهمية هذا التحول.
وأضاف المندوب : "لقد أطلقنا مؤخرًا أيضًا أدوات جديدة تزيد من وعي المستخدم بالإضافات التي يحتمل أن تكون محفوفة بالمخاطر، وسنواصل الاستثمار في هذا المجال". ®