Muitas extensões de navegador que as organizações permitem que os funcionários usem ao trabalhar com aplicativos de software como serviço (SaaS), como Google Workspace e Microsoft 365, têm acesso a altos níveis de conteúdo e apresentam riscos como roubo de dados e problemas de conformidade, um novo estudo descobriu.
Pesquisadores da Spin.AI conduziram recentemente uma avaliação de risco em cerca de 300.000 extensões de navegador e aplicativos OAuth de terceiros em uso em ambientes corporativos. O foco estava nas extensões de navegador baseadas em Chromium em vários navegadores, como o Chrome do Google e o Edge da Microsoft.
Extensões de alto risco
O estudo mostrou que 51% de todas as extensões instaladas eram de alto risco e tinham potencial para causar grandes danos às organizações que as utilizavam. Todas as extensões tinham a capacidade de capturar dados confidenciais de aplicativos corporativos, executar JavaScript malicioso e enviar secretamente dados protegidos, incluindo detalhes bancários e credenciais de login, para terceiros.
A maioria das extensões – 53% – avaliadas pela Spin eram extensões relacionadas à produtividade. Mas o pior – pelo menos do ponto de vista de segurança e privacidade – foram as extensões de navegador em uso em ambientes de desenvolvimento de software em nuvem: a Spin avaliou 56% delas como altos riscos de segurança.
“A principal conclusão deste relatório para as organizações são os riscos significativos de segurança cibernética associados às extensões de navegador”, diz Davit Asatryan, um dos autores de um relatório, divulgado esta semana. “Essas extensões, embora ofereçam vários recursos para melhorar a experiência e a produtividade do usuário, podem representar sérias ameaças aos dados armazenados em navegadores como Chrome e Edge, ou dados SaaS armazenados em plataformas como Google Workspace e Microsoft 365”, diz ele.
Um exemplo é um incidente recente em que um agente de ameaça carregou uma extensão de navegador que pretendia ser o complemento legítimo do navegador ChatGPT, mas na realidade era um cavalo de Tróia que sequestrou contas do Facebook. Milhares de usuários instalaram a extensão e imediatamente tiveram suas credenciais de conta do Facebook roubadas. As contas comprometidas incluíam vários milhares de contas empresariais.
O Google removeu rapidamente a extensão armada de sua Chrome Store oficial. Mas isso não impediu que outros carregassem livremente outras extensões ChatGPT para a mesma loja: a Spin encontrou mais de 200 extensões ChatGPT na loja virtual do Chrome em agosto, em comparação com apenas 11 em maio.
Controles relaxados
A análise da Spin mostrou que organizações com mais de 2.000 funcionários possuem em média 1.454 ramais instalados. As mais comuns entre elas eram extensões relacionadas à produtividade, ferramentas que ajudavam os desenvolvedores e extensões que permitiam melhor acessibilidade. Mais de um terço (35%) destas extensões apresentavam um risco elevado, em comparação com 27% em organizações com menos de 2.000 funcionários.
Uma conclusão surpreendente do relatório da Spin é o número relativamente alto de extensões de navegador – 42.938 – com autores anônimos que as organizações parecem usar livremente, sem considerar quaisquer possíveis armadilhas de segurança. A estatística é especialmente preocupante dada a facilidade com que qualquer pessoa com intenções maliciosas pode publicar uma extensão, diz Asatryan. Para piorar a situação, há o fato de que, em alguns casos, as extensões de navegador que as organizações usam foram provenientes de fora de um mercado oficial.
“Às vezes, as empresas também criam suas próprias extensões para uso interno e as carregam”, diz Asatryan. “No entanto, isto pode introduzir riscos adicionais, uma vez que as extensões destas fontes podem não passar pelo mesmo nível de escrutínio e verificações de segurança” que as disponíveis nas lojas oficiais.
A Spin descobriu que os navegadores podem ser ruins desde o início ou, às vezes, adquirir qualidades maliciosas por meio de atualizações automáticas. Isso pode acontecer quando um invasor se infiltra na cadeia de suprimentos de uma organização e insere código malicioso em uma atualização legítima. Os desenvolvedores também podem vender suas extensões a terceiros que podem atualizá-las com recursos maliciosos.
Outro fator que as organizações precisam considerar é como uma extensão do navegador pode usar suas permissões para se comportar de maneira inesperada. “Por exemplo, uma extensão poderia obter permissão de ‘identidade’ e então usar a permissão ‘webrequest’ para enviar essas informações a terceiros”, diz Asatryan.
É importante que as organizações estabeleçam e apliquem políticas baseadas em estruturas de gestão de risco de terceiros, observa ele. Eles precisam avaliar extensões e aplicativos quanto a riscos operacionais, de segurança, privacidade e conformidade, e considerar a implementação de controles automatizados que permitam ou bloqueiem extensões com base em políticas organizacionais.
“Recomendamos que as organizações avaliem as extensões do navegador antes de instalá-las, considerando fatores como o escopo das permissões solicitadas pela extensão, a reputação do desenvolvedor e a divulgação de auditorias de segurança ou conformidade”, diz Asatryan. Atualizações e manutenções regulares são importantes, assim como as avaliações e classificações dos usuários, bem como qualquer histórico de violações de dados ou incidentes de segurança.
FONTE: DARKREADING