Duo Labs ออกบริการสแกน Chrome Extension ทำ Security Report

Duo Labs ที่ว่าก็คือ Duo Security ที่ Cisco เพิ่งควบรวมกิจการไปไม่นานนี้ได้มีผลงานใหม่ออกมาคือ ‘CRXcavator’ โดยจุดประสงค์คือช่วยให้ผู้ใช้สามารถสแกน Chrome Extension ใน Web Store เพื่อวิเคราะห์การขอสิทธิ์ของ Extension เหล่านั้นเพื่อจัดทำเป็นรายงานออกมา

ประเด็นคือเมื่อต้องการติดตั้ง Extension จะมีการขอ Permission อยู่แล้วเพียงแต่หลายคนก็ให้สิทธิ์ไปโดยไม่ได้คิดหน้าคิดหลังให้ดีซึ่งเสี่ยงต่อองค์กร ทั้งนี้ทีมงานความมั่นคงปลอดภัยขององค์กรก็ไม่สามารถสืบสวน Extension เหล่านั้นได้อย่างทั่วถึงทาง Duo จึงได้ออกบริการ CRXcavator มาโดยกล่าวว่า “เราได้ทำการจัดประเภทและกำหนด Risk Score สำหรับแต่ละ Permission ที่ Extension ต้องใช้เพื่อให้ทีมงานด้านความมั่นคงปลอดภัยใช้อ้างอิงในการวิเคราะห์ได้

สำหรับความสามารถอื่นของ CRXcavator นั้นมีมากมายดังนี้ 

  • เข้าไปดูไซต์ของตัว Extension เพื่อทำ Request เข้าไป
  • ระบุโดเมนที่ Extension มีการติดต่อด้วย
  • วิเคราะห์ไลบรารี่ JavaScript จาก Third-party ว่าเป็นตัวที่มีช่องโหว่หรือไม่
  • ตรวจสอบว่าผู้ใช้สามารถดูโค้ดไฟล์ JavaScript ที่ include เข้ามาได้มากแค่ไหน
  • สแกนหาฟังก์ชันที่เป็นอันตรายหรืออาจเป็นช่องทางของแฮ็กเกอร์
  • นำ Metadata มาสร้างรายงานด้านความมั่นคงปลอดภัยเพื่อให้ทีมความมั่นคงปลอดภัยขององค์กรนำไปพิจารณาดูว่าจะอนุญาตหรือบล็อกการติดตั้ง
  • สามารถสร้างบัญชีผู้ใช้และลิงก์เข้ากลุ่มได้เพื่อใช้งาน Extension Whitelist ในองค์กรและมีฟังก์ชันให้ผู้ใช้งานสามารถร้องขออนุมัติเพิ่ม Extension ใหม่ใน Whitelist ได้อีกด้วย

โดยหลังจากการสแกน Chrome Web Store ในเดือนที่ผ่านมาทาง Duo Labs พบว่าจาก Extension และแอปพลิเคชันรวมกันกว่า 120,463 ตัว ซึ่งมีปัญหาจำนวนมาก เช่น Privacy Policy (84.7%), Support Site (77.3%) และการใช้ไลบรารี่จาก Third-party (31.8%) นอกจากนี้เกือบ 95,000 ตัวไม่มีการกำหนด default-src หรือ connect-src ซึ่งขัดแย้งกับ Content Security Policy ที่ว่าด้วยเรื่องของการจำกัดทรัพยากรภายนอกที่ Extension จะสามารถเข้าถึงได้

ผู้สนใจสามารถดาวน์โหลด Extension CRXcavator ได้ตามลิงก์

ที่มา : https://www.securityweek.com/new-service-ciscos-duo-labs-analyzes-chrome-extensions

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ลือ! OpenAI ซุ่มผลิตชิปของตัวเอง หวังลดการพึ่งพา NVidia

ปฏิเสธไม่ได้ว่าเมื่อพูดถึงงาน AI ผู้ผลิตชิปอย่าง NVIDIA แทบจะเรียกได้ว่าผูกขาดทีเดียวโดยถือครองตลาดถึง 80% อย่างไรก็ตามทำให้มีผู้เล่นรายใหญ่ต่างจับจ้องการผลิตชิปเป็นของตัวเอง ซึ่งล่าสุด OpenAI ดูเหมือนกำลังจะซุ่มลงมือในแผนนี้เช่นกัน

กลุ่มนักลงทุน นำโดย Elon Musk เสนอ 97.4 พันล้านดอลลาร์ซื้อ OpenAI

กลุ่มนักลงทุนที่ได้รับการสนับสนุนจาก Elon Musk ยื่นข้อเสนอซื้อกิจการ OpenAI มูลค่า 97.4 พันล้านดอลลาร์สหรัฐ โดยไม่ได้รับการร้องขอ