Da un’analisi fatta in Italia da Ermes – Intelligent Anti Phishing su oltre 80.000 dispositivi, emergono dati inattesi e decisamente preoccupanti: sul 18% delle macchine risultano essere installate estensioni del browser rischiose e addirittura sullo 0,6% sono presenti estensioni certificate come malevole.
Esplodendo questi numeri si evince facilmente quale possa essere l’esposizione al rischio malware di un’azienda di medie dimensioni.
Indice degli argomenti
Estensioni del browser: un pericolo sottovalutato
Questo problema di sicurezza è ulteriormente amplificato dal nuovo contesto in cui stiamo vivendo, dato che mediamente ognuno di noi passa molte più ore al giorno collegato ed il remote working sta creando nuove abitudini come un costante utilizzo promiscuo dei dispositivi.
In questo “new normal” accade spesso che molte persone/utenti utilizzino sia per fini personali che professionali estensioni, oltre che per una miglior user experience, per aumentare le funzionalità dei browser; se da un lato le estensioni sono comode per l’utente, dall’altro rappresentano un grosso problema di sicurezza altamente sottovalutato.
I pericoli che si corrono sono analoghi a quelli rappresentati dai più comuni malware: da un lato i plug-in possono richiedere all’utente di autorizzare i permessi per avere la stessa visibilità che ha un browser e dall’altro comunicare con un server esterno all’insaputa dell’utilizzatore.
I principali rischi delle estensioni malevole del browser
I principali rischi in cui possiamo incorrere utilizzando estensioni del browser rischiose o certificate come malevole sono raggruppabili in due macro aree, entrambe con conseguenze importanti sia per i singoli utenti che per le aziende:
- leak dati sensibili: attacchi di social engineering, truffe e data breach silenti. Le estensioni vedono header, paylod e dati inseriri nei form in chiaro, oltre che la cronologia di navigazione. Questi dati vengono inviati all’esterno con somma gioia degli attaccanti, animali estremamente pigri che trovano così facili scorciatoie per risparmiare “lavoro”: possono utilizzare le informazioni per attacchi di social engineering oppure per entrare ed uscire liberamente, utilizzando indisturbati le credenziali di cui sono entrati in possesso.
- esecuzione codice remoto: furto di segreti industriali /personali, blocchi operativi e richiesta riscatto. Le estensioni sono in grado di scaricare il codice malevolo ospitato su un server remoto ed eseguirlo all’interno del browser, eludendo così la sandbox e modificando il contenuto dei file scaricati. Ad esempio un utente potrebbe installare un ransomware pensando di scaricare e installare un video player.
Questo riguarda le estensioni che nascono come malevole, ma una minaccia ancor più subdola è rappresentata dalle estensioni che, durante il loro ciclo di vita, modificano il comportamento.
Il problema delle estensioni del browser che “cambiano proprietà”
Le estensioni sono soggette a continui cambi di proprietà, dei quali gli utenti finali non vengono informati.
Un’estensione che nasce come benevola, con milioni di installazioni da parte degli utenti, può tranquillamente mutare il proprio comportamento, dato che i permessi per concedere visibilità totale della navigazione sono stati integralmente concessi al momento del download.
Il cambio di comportamento è subdolo e silente in quanto l’utente non nota nulla, continuando ad usufruire normalmente delle funzionalità dell’estensione.
Uno degli ultimi noti esempi è quello di The Great Suspender, estensione nata per ridurre il consumo di memoria RAM attraverso la sospensione delle schede inutilizzate da parte di Chrome, con oltre 2 milioni di utenti attivi, che a novembre 2020 ha cambiato manutentore, iniziando ad eseguire codice ospitato su un server esterno e solo a febbraio 2021 è stata rimossa dallo store di Google.
Consigli e rimedi per mitigare il rischio
L’utilizzo delle estensioni dipende molto dal fattore umano, anello debole della catena: per questo non è possibile evitare queste minacce basandosi su soluzioni tradizionali di cyber security, che hanno un approccio reputazionale statico, in quanto serve dotarsi di soluzioni che siano in grado di valutarne i comportamenti in modo dinamico.
Facendo un paragone, quando andiamo in aeroporto per prendere un volo, dobbiamo presentare il nostro passaporto per certificare la nostra identità ma questo non basta per poter salire sul nostro volo; questo è il lavoro che oggi viene effettuato dalle soluzione tradizionali che lavorano con un modello reputazionale. Per essere ammessi serve passare dai portali scanner, che possiamo paragonare a soluzioni che lavorano con un modello comportamentale.
Talvolta, plug-in vengono installati da utenti distratti quasi a loro insaputa. Durante la navigazione si aprono popup pubblicitari e alcuni di questi proprio pubblicità non sono, sono finestre bianche che esortano a installare un’estensione; se si rifiuta il messaggio, le finestre continueranno ad aprirsi bloccando le attività che si stanno svolgendo sul browser, per cui può capitare che l’utente accetti per continuare l’attività o non perdere il lavoro effettuato.
I browser forniscono una pagina di servizio dalla quale è possibile vedere l’elenco delle estensioni installate:
- Google Chrome: chrome://extensions/
- Microsoft Edge: edge://extensions/
- Mozilla Firefox: about:addons
Un consiglio agli utenti finali è quello di evitare l’utilizzo di estensioni in favore delle applicazioni web, che comunque non sono esenti da rischio nel caso in cui venissero attaccate con successo.
Nel caso fosse proprio necessario il loro utilizzo, è importante prestare attenzione a scaricare l’estensione corretta, dato che molte sono contraffatte (typo squatting con look&feel analogo: ad esempio Google Trαnslate vs Google Translate).
Invece, un suggerimento valido per le aziende è quello di scegliere in modo centralizzato quali estensioni possano essere scaricabili; alternativamente conviene dotarsi di tool di monitoring che rilevano in tempo reale le estensioni che presentano un profilo di rischio e rimuoverle dal parco macchine aziendale.
