روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ افزونه‌های مرورگر مخرب هنوز یکی از نقاط کور مهم برای تیم‌های امنیت سایبری بسیاری از سازمان‌ها محسوب می‌شوند. این افزونه‌ها به بخشی دائمی از ابزارهای مجرمان سایبری تبدیل شده‌اند و برای سرقت حساب‌ها و سشن‌ها، جاسوسی، پنهان کردن فعالیت‌های مجرمانه دیگر، تقلب تبلیغاتی و سرقت ارزهای دیجیتال مورد استفاده قرار می‌گیرند. رخدادهای مهم مربوط به افزونه‌های مخرب به‌طور مکرر رخ می‌دهند، از جمله نفوذ به افزونه امنیتی سایبرهاون و انتشار گسترده افزونه‌های دزد اطلاعات.

افزونه‌ها برای مهاجمان جذاب هستند زیرا مجوزها و دسترسی گسترده‌ای به اطلاعات داخل برنامه‌ها و وب‌سایت‌ها دارند. از آنجا که افزونه‌ها برنامه‌های مستقل نیستند، اغلب از سیاست‌ها و ابزارهای امنیتی استاندارد عبور می‌کنند. تیم امنیتی سازمان باید به‌صورت سیستماتیک با این مشکل مقابله کند. مدیریت افزونه‌های مرورگر نیازمند ترکیبی از ابزارهای مدیریتی و خدمات یا ابزارهای تحلیل تخصصی افزونه‌ها است. این موضوع محور سخنرانی آتناسیوس جیاتسوس[1] در اجلاس تحلیلگران امنیت در سال ۲۰۲۵ بود. اوکارشناس امنیت سایبری است که در زمینه تحلیل تهدیدها و امنیت فناوری اطلاعات فعالیت می‌کند.

قابلیت‌های تهدیدآمیز افزونه‌های وب و نوآوری‌ها در نسخه جدید

افزونه‌های وب مرورگر دسترسی گسترده‌ای به اطلاعات صفحات وب دارند؛ آن‌ها می‌توانند هر داده‌ای که کاربر از طریق برنامه وب می‌بیند یا استفاده می‌کند را بخوانند و تغییر دهند، شامل اطلاعات مالی یا پزشکی. افزونه‌ها اغلب به داده‌های مهمی دسترسی پیدا می‌کنند که معمولاً برای کاربران نامرئی است، مانند کوکی‌ها، حافظه محلی و تنظیمات پراکسی. این موضوع سرقت جلسات کاربری را بسیار ساده می‌کند.گاهی قابلیت‌های افزونه‌ها فراتر از صفحات وب است؛ آن‌ها می‌توانند به موقعیت کاربر، دانلودهای مرورگر، تصویر صفحه دسکتاپ، محتویات کلیپ‌بورد و اعلان‌های مرورگر دسترسی داشته باشند. در معماری قدیمی افزونه‌ها، نسخه دوم افزونه‌ها که در مرورگرهای مختلف کار می‌کرد، از نظر قابلیت‌ها تقریباً با برنامه‌های کامل تفاوتی نداشت. این افزونه‌ها می‌توانستند اسکریپت‌های پس‌زمینه را به‌صورت مداوم اجرا کنند، صفحات مخفی را باز نگه دارند، اسکریپت‌های خارجی را بارگذاری و اجرا کنند و با سایت‌های دلخواه داده ارسال یا دریافت نمایند.برای کاهش سوءاستفاده و محدود کردن عملکرد برخی مسدودکننده‌های تبلیغات، گوگل مرورگر کرومیوم و کروم را به نسخه جدید افزونه‌ها منتقل کرد. این به‌روزرسانی بسیاری از قابلیت‌های افزونه‌ها را محدود یا مسدود کرد. اکنون افزونه‌ها باید همه سایت‌هایی که با آن‌ها ارتباط دارند را اعلام کنند، اجرای کدهای شخص ثالث بارگذاری‌شده به‌صورت پویا ممنوع است و باید به جای اسکریپت‌های پس‌زمینه دائم، از خدمات کوتاه‌مدت استفاده کنند. اگرچه برخی از انواع حملات با این معماری جدید سخت‌تر شده‌اند، مهاجمان هنوز می‌توانند کد مخرب خود را بازنویسی و بیشتر عملکردهای لازم را حفظ کنند، گرچه ممکن است مخفی‌کاری کاهش یابد. بنابراین اتکا تنها به مرورگرها و افزونه‌های نسخه جدید، نظارت را ساده‌تر می‌کند، اما راه حل کاملی نیست.

علاوه بر این، نسخه جدید مشکل اصلی افزونه‌ها را حل نمی‌کند: آن‌ها معمولاً از فروشگاه‌های رسمی دانلود می‌شوند و فعالیت‌شان توسط مرورگر آغاز می‌شود، بنابراین تشخیص اینکه یک اقدام توسط افزونه انجام شده یا کاربر، بسیار دشوار است.

چگونه افزونه‌های مخرب ظاهر می‌شوند؟

با توجه به رخدادهای عمومی، آتناسیوس جیاتسوس چند سناریو را برای ظهور افزونه‌های مخرب مطرح کرده است:

• توسعه‌دهنده اصلی افزونه‌ای محبوب و قانونی را می‌فروشد و خریدار سپس کد مخرب برای نمایش تبلیغات، جاسوسی یا اهداف دیگر اضافه می‌کند. نمونه‌ها شامل افزونه‌های The Great Suspender و Page Ruler هستند.
• مهاجمان حساب توسعه‌دهنده را هک می‌کنند و به‌روزرسانی آلوده‌ای برای یک افزونه موجود منتشر می‌کنند، مانند اتفاق افتاده برای Cyberhaven.
• افزونه از ابتدا با هدف مخرب طراحی شده است، خود را به عنوان ابزار مفید نشان می‌دهد یا نام و طراحی افزونه‌های محبوب را تقلید می‌کند، مانند نسخه‌های جعلی  AdBlock.
• نسخه پیشرفته‌تر این روش ابتدا افزونه را در حالت پاک منتشر می‌کند و عملکرد واقعی مفید دارد، سپس هفته‌ها یا ماه‌ها بعد افزونه مخرب اضافه می‌شود، مانند ChatGPT for Google.

در تمام این سناریوها، افزونه در فروشگاه کروم موجود و حتی تبلیغ می‌شود. همچنین حملات هدفمند وجود دارد که کاربران از طریق صفحات فیشینگ یا پیام‌ها به نصب افزونه مخرب تشویق می‌شوند. توزیع متمرکز از طریق فروشگاه کروم و به‌روزرسانی خودکار مرورگر و افزونه‌ها اغلب باعث می‌شود کاربران بدون هیچ تلاشی افزونه مخرب دریافت کنند. اگر افزونه‌ای که نصب شده به‌روزرسانی مخرب دریافت کند، به‌طور خودکار نصب می‌شود.

دفاع سازمانی در برابر افزونه‌های مخرب

• سیاست مشخص شرکت درباره استفاده از افزونه‌ها را اتخاذ کنید.
• نصب هر افزونه‌ای که در فهرست تأیید شده توسط تیم امنیت و فناوری اطلاعات نباشد را ممنوع کنید.
• همه افزونه‌های نصب‌شده و نسخه‌های آن‌ها را به‌طور مداوم بررسی کنید.
• هنگام به‌روزرسانی افزونه‌ها، تغییرات مجوزها و تغییر مالکیت یا تیم توسعه‌دهنده را پایش کنید.
• اطلاعات مربوط به ریسک‌ها و قوانین استفاده از افزونه‌ها را در آموزش‌های آگاهی امنیتی کارکنان وارد کنید.

چند نکته عملی و خاص نیز اضافه می‌شود:

• فهرست محدود افزونه‌ها و مرورگرها:علاوه بر اعمال سیاست‌ها روی مرورگر رسمی شرکت، نصب نسخه‌های قابل حمل و مرورگرهای جدید غیرمجاز ممنوع شود. دسترسی مدیر محلی باید به تیم IT و افراد ضروری محدود شود.
• غیرفعال کردن حالت توسعه‌دهنده و جلوگیری از نصب از فایل‌های محلی:برای مرورگر اصلی شرکت اعمال شود و از طریق کنسول مدیریت، سیاست‌های ویندوز، پروفایل‌های macOS یا فایل پالیسی در لینوکس قابل اجرا است.
• به‌روزرسانی‌های مدیریت‌شده:از نسخه‌های جدید افزونه‌ها تنها پس از بررسی و تأیید استفاده شود.
• دفاع چندلایه:نصب ابزارهای امنیتی روی همه دستگاه‌های شرکت برای جلوگیری از مرورگرهای غیرمجاز، سایت‌های فیشینگ و دانلود بدافزار ضروری است. پایش ترافیک شبکه و DNS نیز برای شناسایی ارتباط با میزبان‌های مشکوک لازم است.
• نظارت مستمر: استفاده از سیستم‌های جمع‌آوری اطلاعات برای بررسی وضعیت مرورگر کارکنان شامل فهرست افزونه‌ها، فایل‌های manifest و تحلیل مجوزها.

بررسی و ارزیابی افزونه‌ها

برای اجرای کنترل‌های فوق، شرکت نیازمند یک پایگاه داخلی از افزونه‌های مجاز و ممنوع است. فروشگاه‌ها و مرورگرها ابزار خودکار برای ارزیابی ریسک در مقیاس سازمانی ارائه نمی‌دهند، بنابراین تیم امنیت باید این فرآیند و فهرست را ایجاد کند. کارکنان نیز نیاز به روند رسمی برای درخواست اضافه کردن افزونه دارند.ارزیابی نیاز کسب‌وکار و جایگزین‌ها با نماینده واحد مربوطه انجام شود، اما مسئولیت ارزیابی ریسک بر عهده تیم امنیت است. نیازی به دانلود دستی افزونه‌ها و بررسی در فروشگاه‌های مختلف نیست؛ این کار می‌تواند با ابزارهای متن‌باز، سرویس‌های آنلاین رایگان یا پلتفرم‌های تجاری انجام شود.ابزارهایی مانند Spin.AI و Koidex برای ارزیابی ریسک کلی افزونه‌ها قابل استفاده هستند و پایگاه داده‌ای از افزونه‌های محبوب دارند. این ابزارها تحلیل‌های دقیق شامل مجوزهای لازم، پروفایل توسعه‌دهنده، تاریخچه نسخه‌ها، رتبه‌بندی‌ها و تعداد دانلودها ارائه می‌دهند.برای بررسی داده‌های اصلی افزونه‌ها می‌توان از Chrome-Stats استفاده کرد که رتبه‌ها، بازبینی‌ها و اطلاعات فروشگاه را نمایش می‌دهد و امکان دانلود نسخه‌های فعلی و قبلی افزونه‌ها را فراهم می‌کند. ابزارهایی مانند CRX Viewer نیز برای تحلیل دقیق افزونه‌های مشکوک یا حیاتی کاربرد دارند و اجزای داخلی افزونه را با تمرکز بر کدهای HTML و جاوااسکریپت نمایش می‌دهند.

[1] Athanasios Giatsos

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.