虽然恶意浏览器扩展的数量在过去一年显著增加了许多安全产品不能提供对他们足够的保护,有的则干脆没有设计这样做,根据安全研究人员。
攻击者已经利用这些扩展通过插入恶意广告进入网站或通过劫持搜索查询进行点击欺诈,但有研究表明,这种类型的恶意软件有可能造成更多的破坏的可能性。
去年佐尔坦·巴拉兹,IT安全顾问的专业服务公司德勤在匈牙利,创造了一个验证的概念,恶意推广这可以由远程攻击者控制,并可能窃取认证证书,劫持帐户,修改本地显示的网页,采取截图通过电脑的网络摄像头,绕过双因素认证系统,甚至下载并在受害者的计算机上执行恶意文件。
而上周欧盟机构网络和信息安全(ENISA)警告在其年中报告:“恶意浏览器扩展的增加已经被注册,旨在接管社交网络帐户。”
今年早些时候巴拉兹研究了各种安全产品如何保护用户免受恶意浏览器扩展,并在八月阿姆斯特丹附近的OHM2013安全会议上发表了他的发现。他的表现有些银行对推荐的浏览器安全测试的扩展,沙盒软件,互联网安全套装,反键盘记录应用和金融欺诈的预防方案。
许多这些产品要么不检测,并在所有阻止恶意扩展,或它们的保护可以被绕过,有时很容易,他发现。
并非所有测试产品的要求,以防止恶意的扩展,但鲍拉日说,他对它们进行测试,因为有些用户可能会认为他们这样做。
例如,Mozilla Firefox的NoScript的安全扩展被设计为从未经用户授权执行方框插件内容,并且还阻止某些基于网络的攻击,例如跨站点脚本或点击劫持。然而,这并不能防止恶意浏览器扩展或本地的恶意软件,鲍拉说。
BrowserProtect,另一个Firefox扩展,声称保护浏览器对“主页,搜索服务提供商,扩展,插件,BHO和其他劫持。”这个扩展也未能防止恶意扩展,研究人员说。
浏览器安全扩展是不是真的试图防止恶意扩展,他们将不能够因为他们的设计具有相同的特权,这些扩展运行,鲍拉说。
鲍拉也是从五个顶级杀毒厂商测试的互联网安全套件,他不愿透露姓名。保护级别都主动对变化从无到良好的恶意浏览器扩展。
其中一个被测试的产品检测到并删除了研究人员的恶意Firefox扩展,但是他能够通过在扩展代码的特定位置添加一个空格字符来绕过检测签名。
另一家厂商的产品提供了一个“安全浏览器”特性,包括创建一个不安装扩展的干净Firefox配置文件。然而,一旦它创建了档案,它继续使用相同的一个,这意味着一个恶意扩展安装在用户的常规浏览器档案可以复制自己的“安全浏览器”档案,Balazs说。
鲍拉日说,第三个供应商,要求在一个论坛如果产品检测或阻止Firefox的键盘记录扩展Xenotix KeylogX,回答说没有必要,因为“浏览器插件是浏览器中运行,通过受到同样的沙箱”。厂商建议用户删除任何可疑的扩展自己,他说。
对于Balazs来说,这个问题的答案突出了一些供应商对这种威胁的理解不足,因为Firefox没有沙箱,恶意软件可以在用户不知情的情况下悄无声息地安装恶意浏览器扩展。
其他一些“安全浏览器”实现,如Avast的安全地带和BitDefender的Safepay,确实阻止恶意扩展的安装。这些产品的目的是给用户的方式向银行和使用基于铬,落后于谷歌Chrome浏览器的开源项目定制的浏览器,类似沙箱安全的环境中安全地在线购物。
尽管鲍拉没有找到一个方法来直接安装恶意扩展到Avast的安全地带或BitDefender的Safepay浏览器,他声称已经找到了弱点可能允许攻击者窥视交通,甚至当用户访问HTTPS网站及其连接加密。
如果受害者的主要浏览器是Firefox,攻击者可以首先使用社会工程来欺骗受害者安装一个恶意扩展。然后,他可以使用该扩展来下载并执行一个恶意软件,该恶意软件旨在更改整个系统的Internet代理设置,并在Windows证书存储中安装一个恶意的根CA证书。
铬,随着Internet Explorer,使用系统代理设置和证书存储,所以攻击者可以利用这个通过所有的流量停住SafeZone或Bitdefender Safepay浏览器代理服务器他控制和执行中间人拦截使用新的根CA证书添加到系统中。
这种攻击也旁路Chromium的公钥钉扎保护,这是为了检测是否使用了一些流行的网站如Gmail或贝宝的证书的公钥已经由一个人在这方面的中间人攻击者改变,鲍拉日说,。
用户将不会收到浏览器内的任何证书警告,因为铬允许用户安装的根CA覆盖销,设计决定在2011年五月解释由谷歌软件工程师亚当·兰利博客文章。
Windows不会显示安全提示,当一个新的CA证书被添加到证书存储区,但恶意软件能够自动确认动作,因此用户不必点击任何东西。
Bitdefender的一名发言人周三表示,“Safepay是一种额外的安全保护,用来保护敏感活动,比如网上银行和购物。”虽然它有强大的自我保护机制,但Safepay不是一个反病毒产品的替代品,也不是这样宣传的。”
该产品进行安全评估,以在电脑上识别活动恶意软件被启动安全浏览会话之前,但如果恶意软件之前潜入系统并安装了流氓根证书有机会的话,这次会议可能会大打折扣,发言人说。“不过,这种情况下是合理的,当用户没有安装防病毒产品。”
他说:“我们有一个正在进行的项目,旨在发现Safepay在不同场景(系统或第三方相关)中的漏洞,并开发解决方案,以最大限度地降低用户会话受损的风险。”“对系统上已安装证书的评估是我们的首要任务。”
Avast的没有立即提供有关这种攻击方法的声明。
银行建议他们的客户和设计,以防止恶意软件相关的金融诈骗有些安全产品也被发现对恶意浏览器扩展缺乏保护。鲍拉测试六个这样的产品来自不同的供应商,但只有一个在他的测试封锁浏览器扩展。
此后,几个已经添加保护这类威胁,但它们使用不同的方法,他说。一些封锁所有的扩展,而其他只检测恶意的人,他说。
Balazs还测试了一个名为Sandboxie的程序,该程序旨在通过在沙箱环境中运行应用程序来将应用程序与操作系统隔离开来,并防止它们永久性地更改计算机上的其他程序或数据。
该产品的网站上说:“在Sandboxie的保护下运行你的浏览器意味着浏览器下载的所有恶意软件都被困在sandbox中,可以被随意丢弃。”
但是,这只能阻止Sandboxie中的恶意浏览器扩展写入沙箱之外的本地存储。研究人员说,它仍然可以记录击键并将其存储在沙箱中,用电脑的网络摄像头捕捉图像,或窃取存储在浏览器中的密码和验证cookie。
Balazs说,通常情况下,恶意的Firefox扩展可以修改其他扩展的设置或浏览器本身,但它们也可以通过下载并在浏览器关闭时执行恶意软件来间接修改已安装扩展的源文件。(源文件在浏览器运行时被锁定。)
期间暂停的美国2013安全会议的黑客演示周六,鲍拉证明恶意软件如何插入后门进入合法的扩展和效果这可能对用户的安全。对于他的示范,他的后门LastPass的Firefox扩展。
LastPass是一个密码管理服务,它使用浏览器扩展来自动填写表单和网站认证。这允许用户为他们使用的所有在线服务设置强大的、单独的密码,同时只记住一个主密码来解锁他们加密的密码库。
为了提高安全性,LastPass的支持使用物理YubiKey USB认证设备或移动应用程序,如谷歌身份验证,Toopher和双核安全产生的主密码和一次性代码双因素认证。
在其网站上LastPass的声称,它可以保护用户免受网络钓鱼诈骗,网上欺诈和恶意软件 - 尤其是按键记录程序。不过,据鲍拉,分机不能保护用户免受恶意软件如金融木马程序,勾入浏览器进程,防止其它恶意浏览器扩展,或针对它自己的代码的本地修改。
Balazs”示范在黑客停止了如何了一个恶意软件可以修改安装在Firefox所以LastPass的扩展的代码,它会将用户的主密码和YubiKey验证码给攻击者,那么谁可以使用这些信息来访问用户的密码保险箱。
他发布了自己在GitHub上复制LastPass扩展的概念验证代码,并表示开发这个扩展只花了两个小时。
Balazs最近的大部分研究都集中在Firefox上,因为使用社交工程更容易诱使用户在该浏览器上安装恶意扩展。与Firefox不同的是,Chrome只允许安装Chrome官方网站存储库的扩展,而不允许安装第三方网站的扩展,这使得攻击者更难散布恶意扩展。