共计 1259 个字符,预计需要花费 4 分钟才能阅读完成。
近期,SquareX 发布了一份关于浏览器开发者工具架构局限性的报告,指出这些限制严重阻碍了对潜在恶意浏览器扩展的有效调试和分析。随着浏览器扩展在企业和消费者环境中的普及,这一问题变得尤为突出。
根据 SquareX 的研究,企业和个人用户往往依赖浏览器扩展商店提供的信任标志,如“已验证”或“Chrome 推荐”徽章,来评估扩展的安全性。然而,这些标志并不能完全保证扩展的安全性。以 Geco Colourpick 案例为例,尽管 18 个恶意扩展携带了“已验证”状态,但仍向约 230 万用户分发了间谍软件。
SquareX 的安全研究负责人 Nishant Sharma 指出,扩展分析面临的一个关键技术问题是,浏览器供应商无法在运行时监控和评估扩展的安全状况。现有的开发者工具主要用于检查网页,而浏览器扩展则是复杂的实体,它们可以动态行为、跨多个标签页工作,并拥有“超能力”,能够轻松绕过基于基本开发者工具的检测。
Sharma 进一步解释道,即使浏览器供应商没有被大量的扩展提交请求淹没,当前浏览器开发者工具的架构限制仍将允许许多恶意扩展通过安全检查。
当前一代的浏览器开发者工具起源于 2000 年代末,最初设计用于帮助开发者和用户调试网站并检查网页元素。然而,随着浏览器扩展的发展,它们已经能够提供诸如修改网页、截屏以及在多个站点注入脚本等高级功能。这些功能无法通过现有的开发者工具轻松跟踪或归因。
例如,SquareX 指出,当扩展向页面注入脚本以执行网络请求时,现有的开发者工具无法确定请求是源自网页本身还是扩展。这种缺乏区分的特性使得恶意行为的检测更加困难。
为了解决这些限制,SquareX 的研究人员提出了一个替代框架,该框架结合了修改后的浏览器和 AI 驱动的代理。修改后的浏览器将暴露对理解扩展行为至关重要的遥测数据,而浏览器 AI 代理将模拟不同的用户配置文件,以在运行时触发各种扩展操作。这种方法被称为扩展监控沙箱,能够揭示在传统开发者工具中无法检测到的“隐藏”扩展活动。
SquareX 认为,浏览器开发者工具中的这一架构差距已导致数百万用户暴露于威胁之中。随着浏览器扩展在企业运营中扮演越来越重要的角色,该公司敦促安全团队在评估风险时不要仅仅依赖标签或商店徽章。,
浏览器开发者工具架构限制的揭示暴露了一个基本的安全差距,导致数百万用户受到威胁。随着浏览器扩展成为企业工作流程的核心部分,企业从表面标签转向专门设计用于解决扩展安全问题的解决方案至关重要。浏览器供应商、企业和安全供应商密切合作以应对已成为最快出现的威胁载体之一,这一点绝对关键。
SquareX 为组织提供免费的企业范围扩展审计,该审计利用了 SquareX 扩展分析框架的所有三个组件——元数据分析、静态代码分析和使用扩展监控沙箱的动态分析。此过程对组织中使用的所有浏览器扩展进行全面审查,并为每个扩展提供风险评分。
SquareX 继续推动浏览器供应商、安全提供商和企业在应对扩展安全挑战方面进行合作的必要性。通过公共安全新闻来源获得的参考资料,SquareX 强调了恶意扩展的普遍性和风险。
