Duo Labs ที่ว่าก็คือ Duo Security ที่ Cisco เพิ่งควบรวมกิจการไปไม่นานนี้ได้มีผลงานใหม่ออกมาคือ ‘CRXcavator’ โดยจุดประสงค์คือช่วยให้ผู้ใช้สามารถสแกน Chrome Extension ใน Web Store เพื่อวิเคราะห์การขอสิทธิ์ของ Extension เหล่านั้นเพื่อจัดทำเป็นรายงานออกมา

ประเด็นคือเมื่อต้องการติดตั้ง Extension จะมีการขอ Permission อยู่แล้วเพียงแต่หลายคนก็ให้สิทธิ์ไปโดยไม่ได้คิดหน้าคิดหลังให้ดีซึ่งเสี่ยงต่อองค์กร ทั้งนี้ทีมงานความมั่นคงปลอดภัยขององค์กรก็ไม่สามารถสืบสวน Extension เหล่านั้นได้อย่างทั่วถึงทาง Duo จึงได้ออกบริการ CRXcavator มาโดยกล่าวว่า “เราได้ทำการจัดประเภทและกำหนด Risk Score สำหรับแต่ละ Permission ที่ Extension ต้องใช้เพื่อให้ทีมงานด้านความมั่นคงปลอดภัยใช้อ้างอิงในการวิเคราะห์ได้”
สำหรับความสามารถอื่นของ CRXcavator นั้นมีมากมายดังนี้
- เข้าไปดูไซต์ของตัว Extension เพื่อทำ Request เข้าไป
- ระบุโดเมนที่ Extension มีการติดต่อด้วย
- วิเคราะห์ไลบรารี่ JavaScript จาก Third-party ว่าเป็นตัวที่มีช่องโหว่หรือไม่
- ตรวจสอบว่าผู้ใช้สามารถดูโค้ดไฟล์ JavaScript ที่ include เข้ามาได้มากแค่ไหน
- สแกนหาฟังก์ชันที่เป็นอันตรายหรืออาจเป็นช่องทางของแฮ็กเกอร์
- นำ Metadata มาสร้างรายงานด้านความมั่นคงปลอดภัยเพื่อให้ทีมความมั่นคงปลอดภัยขององค์กรนำไปพิจารณาดูว่าจะอนุญาตหรือบล็อกการติดตั้ง
- สามารถสร้างบัญชีผู้ใช้และลิงก์เข้ากลุ่มได้เพื่อใช้งาน Extension Whitelist ในองค์กรและมีฟังก์ชันให้ผู้ใช้งานสามารถร้องขออนุมัติเพิ่ม Extension ใหม่ใน Whitelist ได้อีกด้วย
โดยหลังจากการสแกน Chrome Web Store ในเดือนที่ผ่านมาทาง Duo Labs พบว่าจาก Extension และแอปพลิเคชันรวมกันกว่า 120,463 ตัว ซึ่งมีปัญหาจำนวนมาก เช่น Privacy Policy (84.7%), Support Site (77.3%) และการใช้ไลบรารี่จาก Third-party (31.8%) นอกจากนี้เกือบ 95,000 ตัวไม่มีการกำหนด default-src หรือ connect-src ซึ่งขัดแย้งกับ Content Security Policy ที่ว่าด้วยเรื่องของการจำกัดทรัพยากรภายนอกที่ Extension จะสามารถเข้าถึงได้
ผู้สนใจสามารถดาวน์โหลด Extension CRXcavator ได้ตามลิงก์
ที่มา : https://www.securityweek.com/new-service-ciscos-duo-labs-analyzes-chrome-extensions