Расширения браузера: не доверяй и проверяй

Систематические меры и инструменты, которые помогут организациям в защите от вредоносных браузерных расширений.

Как проверить на безопасность расширения браузера в организации

Вредоносные расширения браузера остаются существенной слепой зоной для ИБ-отделов многих организаций. Они уверенно вошли в арсенал киберпреступников: применяются для кражи сессий и учетных записей, шпионажа, маскировки других преступных активностей, мошенничества с рекламой, похищения криптовалюты. Громкие инциденты с вредоносными расширениями тоже нередки: от компрометации ИБ-расширения Cyberhaven до массовой публикации расширений, выполняющих функции инфостилера.

Злоумышленнику расширения удобны тем, что они получают в браузере разрешения и широкий доступ к информации SaaS-приложений и сайтов, не являясь при этом самостоятельными приложениями, что позволяет им обходить типовые политики и инструменты ИБ-контроля.

Служба ИБ в компании должна бороться с проблемой систематически. Чтобы управлять в организации браузерными расширениями, нужно комбинировать инструменты управления политикой со специализированными сервисами или инструментами анализа расширений. Именно этому был посвящен доклад Афанасиоса Гиатсоса (Athanasios Giatsos) на Security Analyst Summit 2025.

Угрожающие возможности веб-расширений и новшества Manifest V3

Веб-расширение в браузере имеет полный доступ к информации веб-страниц, что позволяет атакующим считывать и изменять любые данные, доступные пользователю через веб-приложение, в том числе финансовые и медицинские. Расширения часто получают доступ и к важным «невидимым» данным: cookie, локальному хранилищу данных (localStorage), настройкам прокси-сервера. Это упрощает похищение сессий. Иногда возможности расширений выходят далеко за пределы веб-страниц: они могут иметь доступ к геолокации, загрузкам браузера, захвату изображения с рабочего стола, содержимому буфера обмена, оповещениям браузера.

В наиболее популярной до недавнего времени архитектуре расширений Manifest V2, работавшей в Chrome, Edge, Opera, Vivaldi, Firefox и Safari, расширения трудноотличимы по возможностям от полноценных приложений. Они могут постоянно выполнять в фоновом режиме скрипты и держать открытыми невидимые веб-страницы, загружать и выполнять скрипты с сайтов в Интернете, обращаться к произвольным сайтам за информацией или отправлять ее. Чтобы сократить возможные злоупотребления (а заодно ограничить блокировщики рекламы), Google перевела Chromium и Chrome на Manifest V3, в котором многие функции были переработаны или заблокированы. Теперь расширения обязаны декларировать все сайты, к которым обращаются, не могут выполнять сторонний код, динамически загружаемый с сайта, а вместо фоновых скриптов должны пользоваться короткоживущими «микросервисами». Хотя некоторые виды атак в новой архитектуре проводить сложнее, злоумышленники вполне могут переписать вредоносный код, сохранив большую часть необходимых функций, но потеряв в скрытности. Потому использование в организации только браузеров и расширений, работающих исключительно с Manifest V3, упрощает мониторинг, но не является панацеей.

Также V3 никак не затрагивает ключевую проблему расширений: они как правило загружаются из официальных магазинов приложений с легитимных доменов Google, Microsoft или Mozilla, их активность выглядит, как инициированная самим браузером, и отличить действия, выполненные расширением, от сделанного пользователем вручную довольно сложно.

Как появляются вредоносные расширения

На опыте публичных инцидентов Афанасиос Гиатсос выделяет основные сценарии появления вредоносного расширения:

  • разработчик продает легитимное и популярное расширение. Покупатель дорабатывает его для показа рекламы, шпионажа или других целей (The Great Suspender, Page Ruler);
  • аккаунт разработчика компрометируют злоумышленники и публикуют троянизированное обновление расширения (Cyberhaven);
  • расширение изначально создано вредоносным. Оно либо маскируется под полезное расширение общего профиля (Save to Google Drive и подобное), либо именем и дизайном напоминает популярные расширения (десятки клонов AdBlock);
  • усложненная версия предыдущей схемы — расширение изначально публикуется в чистом виде и реально выполняет полезную функцию, а вредоносные добавки появляются недели или даже месяцы спустя, когда расширение стало достаточно популярным (пример: ChatGPT for Google).

Во всех этих сценариях расширение широко доступно в Chrome Web Store и иногда даже рекламируется. Но существует и целевой сценарий атаки, когда фишинговые страницы или сообщения побуждают жертву установить себе вредоносное расширение, которое недоступно широкой публике.

Централизованная дистрибуция через Web Store и автоматизированные обновления Chrome и расширений означают, что во многих случаях пользователям не нужно предпринимать активных действий, чтобы получить вредоносное расширение. Если одно из установленных на компьютере расширений получило вредоносный апдейт, он будет установлен автоматически.

Меры защиты организации от вредоносных расширений

Афанасиос в рамках своей презентации дал несколько общих советов:

  • утвердить в компании политику использования браузерных расширений;
  • запретить применение расширений, не входящих список одобренных ИБ и ИТ;
  • проводить регулярный аудит установленных расширений и их версий;
  • при обновлениях расширений отслеживать изменения в выданных разрешениях, а также отслеживать смену владельцев расширений и их разработчиков;
  • включить в программы ИБ-тренингов для всех сотрудников информацию о рисках и правилах пользования браузерными расширениями.

К этим советам Афанасиоса мы добавим немного практических деталей и нюансов.

Закрытый список расширений и браузеров. Кроме применения политик безопасности к основному принятому в компании браузеру, нужно запретить устанавливать portable-версии, а также модные ИИ-браузеры вроде Comet или другие посторонние решения, допускающие установку тех же опасных расширений. При воплощении этого шага нужно убедиться, что права локального администратора есть только у сотрудников ИТ-службы и у тех людей, которым это нужно для выполнения должностных обязанностей.

В рамках политики для основного браузера необходимо отключить режим разработчика и запретить установку расширений из локального файла. Для Chrome это можно сделать из консоли администратора; также нужные настройки доступны на уровне групповых политик Windows, конфигурационных профилей macOS или через JSON-файл политик на Linux.

Управляемое обновление. Чтобы обновления разрешенных расширений не устанавливались сразу во всей компании, примените закрепление версий (pinning). При этом ИТ и ИБ должны регулярно тестировать новые версии разрешенных расширений и закреплять обновленные версии после их одобрения.

Многослойная защита. Чтобы избежать запуска посторонних браузеров, снизить риски посещения вредоносных сайтов с фишингом и загрузки ВПО, обязательно устанавливать EDR-агент на все корпоративные устройства. На уровне межсетевого экрана необходимо также отслеживать DNS-запросы и сетевой трафик из браузера для оперативной идентификации коммуникаций с подозрительными хостами и других аномалий.

Постоянный мониторинг. С помощью EDR и SIEM необходимо собирать с рабочих компьютеров подробные данные о состоянии браузера: список установленных расширений в каждом установленном браузере, файлы manifest для анализа версий и разрешений и так далее. Это позволяет быстро обнаруживать ситуации, когда в браузере установлено новое расширение, когда произошло обновление версии и изменились выданные разрешения.

Как проверять расширения браузера

Чтобы реализовать все перечисленные меры, компании потребуется своя база разрешенных и запрещенных расширений. Увы, магазины приложений и сами браузеры не предлагают механизмов, которые позволяет оценивать риски в масштабе организации и наполнять список автоматически. Поэтому такой процесс и список придется создать в отделе ИБ. Сотрудникам потребуется и процедура подачи заявки на пополнение списка.

Оценку бизнес-необходимости расширения и доступных альтернатив лучше проводить с ответственным от бизнес-подразделения, а вот оценка рисков полностью останется в зоне ответственности ИБ. Вручную скачивать расширения и сверять их в разных магазинах расширений необязательно — для этой задачи имеются как инструменты open source и бесплатные онлайн-сервисы, так и коммерческие платформы.

Оценить общий риск-профиль можно с помощью бесплатных онлайн-сервисов Spin.AI и Koidex (ранее ExtensionTotal). В обоих ведется база данных популярных расширений, поэтому оценка, как правило, доступна мгновенно. Используются LLM для построения краткого текстового резюме о свойствах расширения, но есть и детальный анализ: требуемые разрешения, профиль автора расширения, история версий, оценок и загрузок.

Базовые данные также можно изучить через сервис Chrome-Stats. Он предназначен больше для разработчиков расширений, поэтому показывает рейтинги, отзывы и прочие данные из магазинов расширений, но также в нем можно напрямую скачать актуальную версию и несколько предыдущих версий расширения, что упрощает расследование инцидентов.

Для глубокого анализа подозрительных или особо важных расширений можно применить инструменты наподобие CRX Viewer. Он позволяет изучать уже начинку расширения, удобно фильтруя и выводя компоненты расширения с акцентом на HTML- и JS-коды.

Советы

Уязвимость Pixnapping: неизбежный скриншот на Android-смартфоне

Обнаруженная исследователями уязвимость Android позволяет приложениям воровать с экрана пароли, одноразовые коды и другую секретную информацию, не требуя никаких специальных разрешений операционной системы. Как работает Pixnapping и что делать для защиты?

  • For all other countries