Maliciozne ekstenzije za browsere sve brojnije, zaštita od njih slaba

Vesti, 30.09.2013, 10:39 AM

Uprkos tome što je poslednjih godina zabeležen značajan porast broja zlonamernih ekstenzija za browser-e, mnogi antivirusi ne nude adekvatnu zaštitu od ovih programa, dok drugi jednostavno nisu dizajnirani da pruže takvu zaštitu, tvrdi savetnik za IT bezbednost u mađarskoj firmi Deloitte Zoltan Balazs.

Hakeri već dugo koriste takve ekstenzije za prevare sa klikovima ubacujući lažne reklame na web sajtove ili preotimajući pretragu korisnika. Međutim, šteta koju mogu prouzrokovati ovakvi zlonamerni programi može biti mnogo veća od one koja je rezultat prevara sa lažnim klikovima.

U prilog tome govori i nedavno upozorenje evropske Agencije za mrežnu i informatičku bezbednost (ENISA) koja je upozorila na porast broja malicioznih ekstenzija za browser-e koje preotimaju naloge korisnika na društvenim mrežama.

Balazs je prošle godine napravio proof-of-concept malicioznu ekstenziju koju je moguće kontrolisati sa daljine i koja može da krade korisnička imena i lozinke, da preotima naloge, menja lokalno prikazane web stranice, pravi snimke ekrana koristeći web kameru računara, prevari dvofaktorne sisteme za autentifikaciju i preuzme i pokrene maliciozne fajlove na računaru žrtve.

Balazs je istraživao kako različiti zaštitni proizvodi štite korisnike od malicioznih ekstenzija za browser-e i rezultate svog istraživanja prezentovao na konferenciji OHM2013 koja se održala u avgustu ove godine u blizini Amsterdama.

Balazs je testirao zaštitne ekstenzije za browser-e, sandboxing softver, programe za zaštitu od keylogger-a, antiviruse i programe za sprečavanje finansijskih prevara koje preporučuju pojedine banke.

Mnogi od testiranih programa uopšte nisu detektovali pa shodno tome ni blokirali maliciozne ekstenzije, ili je njihova zaštita savladana, ponekad i iznenađujuće lako.

Ipak, Balazs priznaje da se za neke od proizvoda koje je testirao i ne tvrdi da nude zaštitu od malicioznih ekstenzija, ali ih je Balazs odabrao za testiranje zbog toga što među korisnicima vlada uverenje da oni pružaju zaštitu od zlonamernih ekstenzija. Najbolji primer za to je ekstenzija NoScript za Mozilla Firefox koja istina blokira neke web napade kao što su cross-site scripting ili clickjacking, ali ne štiti od malicioznih ekstenzija za browser niti od malvera.

Balazs je takođe testirao sveobuhvatna zaštitna rešenja pet proizvođača antivirusa ali je odbio da navede o kojim proizvođačima je reč. Nivo zaštite od zlonamernih ekstenzija koji su pružili ovi proizvodi varira od “nikakve do dobre“. Jedan od testiranih proizvoda je detektovao i uklonio Balatzsovu malicioznu ekstenziju ali je Balazs uspeo da savlada zaštitu ovog programa dodajući jedan jedini karakter (razmak) u određeni deo koda svoje ekstenzije.

Neke „safe browser“ implementacije kao što su Avastov SafeZone i Safepay kompanije Bitdefender, blokiraju instalaciju zlonamernih ekstenzija. One nude korisnicima bezbedan e-banking i kupovinu na internetu korišćenjem prilagođenog browser-a koji se temelji na Chromium-u, u bezbednom okruženju koje je slično sandbox-u. Balazs nije uspeo da instalira maliciozne ekstenzije direktno u Avast SafeZone niti uSafepay browser-e, ali on tvrdi da je otkrio slabosti koje omogućavaju napadaču uvid u saobraćaj, čak i kada korisnik pristupa HTTPS web sajtovima.

Iz Bitdefender-a kažu da njihov Safepay nije zamena za antivirus niti se reklamira kao takav već da je osmišljen kao dodatni sloj zaštite za aktivnosti kao što su online bankarstvo ili kupovina. Safepay vrši bezbednosnu procenu pre nego što započne sesija browser-a, tražeći aktivni malver na računaru, ali ako se malver pre toga infiltrirao u sistem i instalirao lažni root sertfikat postoji mogućnost da će sesija biti kompromitovana. Šta više, takav scenario je verovatan kada korisnik nema instaliran antivirus na računaru, kažu iz Bitdefender-a.

Balazs je testirao i šest proizvoda različitih proizvođača koje banke preporučuju svojim korisnicima i koji su namenjeni za zaštitu od finansijskih prevara u koje su uključeni malveri. Samo jedan od tih proizvoda je blokirao maliciozne ekstenzije za browser-e.

Balazs je testirao i Sandboxie, program koji izoluje programe od operativnog sistema tako da oni rade u okruženju sandbox-a i ne mogu da menjaju druge programe ili podatke na računaru. Na web sajtu sa koga se može preuzeti program se tvrdi da svi maliciozni programi koje je preuzeo browser bivaju uhvaćeni u sandbox-u. Međutim, Sandboxie zapravo samo sprečava pisanje maliicozne ekstenzije izvan sandbox-a ali ona može da beleži pritisak korisnika na tastere i da to čuva u sandbox-u, pravi snimke uz pomoć web kamere računara, ili krade lozinke i kolačiće za autentifikaciju sačuvane u browser-u.

Maliciozne Firefox ekstenzije mogu menjati podešavanja drugih ekstenzija ili samog browser-a, ali takođe mogu indirektno menjati izvorne fajlove instaliranih ekstenzija preuzimanjem i pokretanjem malvera koji to mogu da urade kada je browser ugašen.

Na konferenciji Hacker Halted USA 2013 koja je nedavno održana, Balazs je pokazao kako malver može da ubaci backdoor u legitimne ekstenzije i kakve to efekte može imati na bezbednost korisnika. On je to demonstrirao na primeru ekstenzije LastPass za Firefox za koju se na web sajtu proizvođača tvrdi da štiti korisnike od fišinga, online prevara i malvera, a posebno od keylogger-a. Međutim, Balazs kaže da ova ekstenzija ne može da zaštiti korisnika od malvera kao što su „bankarski“ Trojanci, od malicioznih ekstenzija za browser ili od lokalnih izmena u sopstvenom kodu. Kako to izgleda možete videti na video snimku koji je Balasz objavio na YouTube-u.

Balazsovo istraživanje je uglavnom bilo fokusirano na Firefox jer za razliku od Firefox-a Chrome dozvoljava instalaciju ekstenzija samo ako su one deo ponude oficijelne Chrome Web Store.