Duo Labs ออกบริการสแกน Chrome Extension ทำ Security Report

Duo Labs ที่ว่าก็คือ Duo Security ที่ Cisco เพิ่งควบรวมกิจการไปไม่นานนี้ได้มีผลงานใหม่ออกมาคือ ‘CRXcavator’ โดยจุดประสงค์คือช่วยให้ผู้ใช้สามารถสแกน Chrome Extension ใน Web Store เพื่อวิเคราะห์การขอสิทธิ์ของ Extension เหล่านั้นเพื่อจัดทำเป็นรายงานออกมา

ประเด็นคือเมื่อต้องการติดตั้ง Extension จะมีการขอ Permission อยู่แล้วเพียงแต่หลายคนก็ให้สิทธิ์ไปโดยไม่ได้คิดหน้าคิดหลังให้ดีซึ่งเสี่ยงต่อองค์กร ทั้งนี้ทีมงานความมั่นคงปลอดภัยขององค์กรก็ไม่สามารถสืบสวน Extension เหล่านั้นได้อย่างทั่วถึงทาง Duo จึงได้ออกบริการ CRXcavator มาโดยกล่าวว่า “เราได้ทำการจัดประเภทและกำหนด Risk Score สำหรับแต่ละ Permission ที่ Extension ต้องใช้เพื่อให้ทีมงานด้านความมั่นคงปลอดภัยใช้อ้างอิงในการวิเคราะห์ได้

สำหรับความสามารถอื่นของ CRXcavator นั้นมีมากมายดังนี้ 

  • เข้าไปดูไซต์ของตัว Extension เพื่อทำ Request เข้าไป
  • ระบุโดเมนที่ Extension มีการติดต่อด้วย
  • วิเคราะห์ไลบรารี่ JavaScript จาก Third-party ว่าเป็นตัวที่มีช่องโหว่หรือไม่
  • ตรวจสอบว่าผู้ใช้สามารถดูโค้ดไฟล์ JavaScript ที่ include เข้ามาได้มากแค่ไหน
  • สแกนหาฟังก์ชันที่เป็นอันตรายหรืออาจเป็นช่องทางของแฮ็กเกอร์
  • นำ Metadata มาสร้างรายงานด้านความมั่นคงปลอดภัยเพื่อให้ทีมความมั่นคงปลอดภัยขององค์กรนำไปพิจารณาดูว่าจะอนุญาตหรือบล็อกการติดตั้ง
  • สามารถสร้างบัญชีผู้ใช้และลิงก์เข้ากลุ่มได้เพื่อใช้งาน Extension Whitelist ในองค์กรและมีฟังก์ชันให้ผู้ใช้งานสามารถร้องขออนุมัติเพิ่ม Extension ใหม่ใน Whitelist ได้อีกด้วย

โดยหลังจากการสแกน Chrome Web Store ในเดือนที่ผ่านมาทาง Duo Labs พบว่าจาก Extension และแอปพลิเคชันรวมกันกว่า 120,463 ตัว ซึ่งมีปัญหาจำนวนมาก เช่น Privacy Policy (84.7%), Support Site (77.3%) และการใช้ไลบรารี่จาก Third-party (31.8%) นอกจากนี้เกือบ 95,000 ตัวไม่มีการกำหนด default-src หรือ connect-src ซึ่งขัดแย้งกับ Content Security Policy ที่ว่าด้วยเรื่องของการจำกัดทรัพยากรภายนอกที่ Extension จะสามารถเข้าถึงได้

ผู้สนใจสามารถดาวน์โหลด Extension CRXcavator ได้ตามลิงก์

ที่มา : https://www.securityweek.com/new-service-ciscos-duo-labs-analyzes-chrome-extensions


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

บริหารองค์กรได้เหนือชั้นกว่าด้วยระบบ Data Center ยุคใหม่กับ VxRail

มารู้จักกับ VxRail Hyper-Converged อุปกรณ์ที่ช่วยให้องค์กรจัดการระบบ Server, Storage และ Softwareได้ง่าย ครบจบในที่เดียว

Sponsored Webinar: สาธิตการใช้ระบบ Poly Collaboration เพื่อการประชุมออนไลน์แห่งอนาคต [วิดีโอ]

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย Sponsored Webinar เรื่อง “Plantronics & Polycom | Now Together as “Poly” – Power of …