Správa z марца 2024
V marci 2024 sa objavila správa o podvrhovom bezpečnostnom rozšírení, ktoré bolo inštalované na 900 000 zariadeniach. Rozšírenie sa vydávalo za populárny nástroj na správu hesel a v skutočnosti bolo ukradnuté dáta v spojení s cloudovými zvýšeniami.
Vývojár pôvodného nástroja verejne potvrdil: „Toto nie je náš nástroj. Neregistrujeme sa na žiadny klon svojej značky."
Čím to začalo? Obchodný obchod obsahoval rozšírenie s takmer identickým menom, podobnou ikonou a falošným popisom tvrdiacim, že je od „rovnakého vývojárskeho tímu". Používatelia, ktorí hľadali legitimný nástroj, stiahnuli podvod omylom.
Keď boli inštalácie dosiahli 900 000, bezpečnostní výskumníci detailne analyzovali rozšírenie a objavili:
- Všetky heslo sa poslali serverom niekoho iného bez poznámky autentifikácie
- Autentifikačné tokeny z cloudových účtov boli extrahovane
- Prihlasovací údaje k webovým stránkam boli zaznamenané
Bezpečnostný tím Gooogle to odmenil a obchod sa zatvoril. Ale 900 000 zariadení malo už problém.
Zlyha verifikácia vývojárov
Chrome Web Store má proces „Vývojári overení" — certifikácia, ktorá ukazuje vývojárom ako legitímnym. Ale tento rozšírenie nikdy nebol podávateľom bezpečnosti ako overený. Ako bol podložený na 900 000 inštaláciách bez overenia?
Odpoveď: Web Store neoveruje vývojárov predtým, ako sa rozšírenie publikuje na obchode. Overenie je dobrovoľné — vývojári si ho musia vyžiadať a prejsť overením.
Tento nástroj bol publikovaný bez akéhokoľvek overenia, a keď začali inštalácie, Web Store nemal spôsob, ako kontaktovať vývojára alebo automaticky preveriť, či je legitimný.
Ako sa to líši od ostatných obchodov
Obchod aplikácií Apple App Store má striktnejší proces:
- Každá aplikácia je manuálne skúmaná podľa bezpečnostných kódexov pred publikovaním
- Apple zadržuje právo na odmietnutie aplikácie bez podrobného vysvetlenia
- Aplikácie sa musia registrovať s právnym menom spoločnosti
Android Play Store mal podobné problémy v minulosti, ale začal požadovať overenie vývojára (e-mailová adresa vydavateľa, právna osoba, ikonka aplikácie).
Web Store Chrome jednoducho nepožaduje tento krok. Vývojár môže:
- Vytvoriť účet
- Nahrať rozšírenie
- Zverejniť bezprostredne na obchode
Nič v tomto procese nevyžaduje overenie vývojára.
Kde sa nachádza overenie dôvery?
V kryptografii je koncept „overenia verejného kľúča" — ako viete, že kľúč patrí osobe, ktorú si myslíte? Riešenie: tretia strana podpisuje identitu osoby.
V obchodoch aplikácií by to fungovalo takto:
- Vývojár sa musí identifikovať (alebo právna osoba)
- Tretia strana (Apple, Apple, Atlassian) overuje identitu
- Obchod zobrazuje tento sig podpisu ako záväzok: „Túto aplikáciu podpísala táto spoločnosť"
Ak by Chrome Web Store mal tento systém, 900 000 inštalácií by sa teraz viazali na identitu falošného vývojára — a vývojár by musel zaplatiť alebo čeliť právnym následkom falošnej identity.
V súčasnosti Web Store nemá žiadny taký systém.
Ako sa chránite
Ak používate rozšírenia:
- Nainštalujte rozšírenia iba od známych vývojárov (Google, Microsoft, Slack, Obsidian)
- Skontrolujte počet inštalácií — podvody majú zvyčajne menej ako 10 000
- Prečítajte si posledné recenzie — podvody sa často objavujú v posledných dňoch
- Skontrolujte domovskú stránku vývojára — podvody zvyčajne nemajú stránku s podporou
Kde sa datáte viac? Pozrite sa na aplikáciu izolačného bezpečnostného kontajnera (ako je podpora anonym.legal na ChatGPT alebo iný chatbot). Kontajner berie údaje zo stránky, anonizuje ich pred odoslaním do cloudového API a zahodí všetky dáta po dokončení.