Mặc dù việc sử dụng tiện ích mở rộng trình duyệt (browser extensions) ngày càng mở rộng, phần lớn các doanh nghiệp và cá nhân vẫn dựa vào các nhãn như “Verified” và “Chrome Featured” được cung cấp bởi các cửa hàng tiện ích như một chỉ số bảo mật. Tuy nhiên, các sự cố gần đây cho thấy những chứng nhận này mang lại cảm giác an ninh sai lầm, đặt ra thách thức lớn cho an toàn thông tin của người dùng và tổ chức.
Điển hình là trường hợp Geco Colorpick, nơi các nhà nghiên cứu của Koi Research đã tiết lộ 18 tiện ích mở rộng độc hại phân phối phần mềm gián điệp cho 2.3 triệu người dùng. Đáng chú ý, hầu hết các tiện ích này đều mang trạng thái “Verified” được tin cậy. Vụ việc này đã làm nổi bật một lỗ hổng kiến trúc trong Browser DevTools, ngăn cản các nhà cung cấp trình duyệt và doanh nghiệp thực hiện phân tích bảo mật kỹ lưỡng như mong đợi.
Hạn chế Kiến trúc của Browser DevTools: Mối đe dọa mạng tiềm ẩn
Nghiên cứu của SquareX đã chỉ ra lý do công nghệ đằng sau lỗ hổng này. Browser DevTools được giới thiệu vào cuối những năm 2000, rất lâu trước khi tiện ích mở rộng được sử dụng rộng rãi. Các công cụ này được thiết kế để giúp người dùng và nhà phát triển web gỡ lỗi trang web và kiểm tra các phần tử của trang web, nhưng không đủ để đảm bảo an toàn thông tin khi tiện ích mở rộng phát triển.
Ông Nishant Sharma, Trưởng bộ phận Nghiên cứu Bảo mật tại SquareX, cho biết: “Bên cạnh việc hàng ngàn bản cập nhật và tiện ích mới được gửi đi hàng ngày, các nhà cung cấp trình duyệt đơn giản là không thể giám sát và đánh giá tình trạng bảo mật của một tiện ích mở rộng tại thời điểm chạy.”
Tiện ích mở rộng là các thực thể phức tạp có thể hoạt động linh hoạt, làm việc trên nhiều tab và sở hữu những “siêu năng lực” cho phép chúng dễ dàng vượt qua việc phát hiện thông qua các công cụ đo lường từ Browser DevTool cơ bản. Việc không thể giám sát đầy đủ hành vi của tiện ích mở rộng tạo ra một lỗ hổng nghiêm trọng đối với an toàn thông tin của người dùng cá nhân và tổ chức.
Tiện ích mở rộng và Khả năng Giám sát Hạn chế
Ngay cả khi các nhà cung cấp trình duyệt không bị quá tải bởi số lượng yêu cầu gửi tiện ích, những hạn chế kiến trúc của Browser DevTools hiện tại vẫn sẽ cho phép nhiều tiện ích độc hại vượt qua các kiểm tra bảo mật dựa trên DevTool.
Tiện ích mở rộng trình duyệt có những khả năng độc đáo, bao gồm sửa đổi nội dung, chụp ảnh màn hình và tiêm script vào nhiều trang web. Những hoạt động này không thể dễ dàng giám sát và quy kết bằng Browser DevTools.
Ví dụ, một tiện ích mở rộng có thể thực hiện yêu cầu mạng thông qua một trang web bằng cách tiêm một script vào trang đó. Với Browser DevTools, không có cách nào để phân biệt các yêu cầu mạng được thực hiện bởi chính trang web và các yêu cầu được thực hiện bởi tiện ích mở rộng. Điều này gây khó khăn trong việc phát hiện các hoạt động đáng ngờ và bảo vệ an toàn thông tin.
Giải pháp Giám sát Tiện ích mở rộng của SquareX
Để khắc phục khoảng trống bảo mật này, các nhà nghiên cứu của SquareX đã đề xuất một phương pháp tiếp cận mới. Phương pháp này kết hợp một trình duyệt đã được sửa đổi và các tác tử AI trình duyệt (Browser AI Agents). Chi tiết được trình bày trong bài viết kỹ thuật labs.sqrx.com/architectural-limitations-devtools-extensions.
Cơ chế Hoạt động của Extension Monitoring Sandbox
- Trình duyệt đã sửa đổi: Cung cấp các dữ liệu từ xa (telemetry) quan trọng, cần thiết để hiểu hành vi thực sự của tiện ích mở rộng.
- Tác tử AI trình duyệt: Mô phỏng các cá nhân người dùng khác nhau để kích hoạt các hành vi tiện ích mở rộng đa dạng trong thời gian chạy, phục vụ mục đích giám sát và phân tích bảo mật.
Giải pháp này không chỉ cho phép phân tích động tiện ích mở rộng mà còn phát hiện ra nhiều hành vi “ẩn” của tiện ích mở rộng. Những hành vi này chỉ được kích hoạt bởi thời gian, một hành động cụ thể của người dùng hoặc các môi trường thiết bị nhất định. Mô hình sandbox này là một bước tiến quan trọng trong việc bảo vệ an toàn thông tin khỏi các mối đe dọa tiện ích mở rộng.
Tác động và Khuyến nghị cho Doanh nghiệp
Việc tiết lộ những hạn chế kiến trúc của Browser DevTools đã phơi bày một khoảng trống bảo mật cơ bản, dẫn đến việc hàng triệu người dùng bị xâm phạm. Khi các tiện ích mở rộng trình duyệt trở thành một phần cốt lõi của quy trình làm việc trong doanh nghiệp, điều quan trọng là các tổ chức phải chuyển từ các nhãn bề mặt sang các giải pháp được thiết kế đặc biệt để giải quyết bảo mật tiện ích mở rộng.
Để chống lại vectơ tấn công mạng đang nổi lên nhanh chóng này, sự hợp tác chặt chẽ giữa các nhà cung cấp trình duyệt, doanh nghiệp và nhà cung cấp bảo mật là vô cùng cần thiết. Điều này sẽ giúp tăng cường khả năng bảo vệ và đảm bảo an toàn thông tin trong môi trường số.
Khung Phân tích Tiện ích mở rộng của SquareX
SquareX cung cấp một khuôn khổ phân tích mở rộng cho các doanh nghiệp. Chương trình này bao gồm kiểm tra toàn diện tất cả các tiện ích mở rộng được cài đặt trong một tổ chức, sử dụng ba thành phần chính của Khung phân tích tiện ích mở rộng của SquareX:
- Phân tích siêu dữ liệu (metadata analysis)
- Phân tích mã tĩnh (static code analysis)
- Phân tích động (dynamic analysis) với Extension Monitoring Sandbox.
Quá trình này cung cấp phân tích đầy đủ về mức độ rủi ro tiện ích mở rộng của tổ chức và một điểm rủi ro cho từng tiện ích mở rộng, góp phần củng cố an toàn thông tin tổng thể. Sự chủ động này là rất quan trọng để duy trì an toàn thông tin trong bối cảnh các mối đe dọa liên tục thay đổi.
Giải pháp Browser Detection and Response (BDR) của SquareX cho phép các tổ chức chủ động phát hiện, giảm thiểu và săn lùng các mối đe dọa web phía máy khách. Các mối đe dọa này bao gồm tiện ích mở rộng trình duyệt độc hại, tấn công spear-phishing nâng cao, ransomware trình duyệt, và ngăn chặn mất dữ liệu GenAI.
Không giống như các phương pháp bảo mật cũ và các trình duyệt doanh nghiệp cồng kềnh, SquareX tích hợp liền mạch với các trình duyệt tiêu dùng hiện có của người dùng. Điều này đảm bảo an ninh nâng cao mà không ảnh hưởng đến trải nghiệm người dùng hoặc năng suất, mang lại khả năng kiểm soát trực tiếp trong trình duyệt để giảm bề mặt tấn công mạng và tăng cường khả năng phòng thủ an toàn thông tin của doanh nghiệp.
