وجدت دراسة جديدة أن العديد من ملحقات المتصفح التي تسمح المؤسسات للموظفين باستخدامها عند العمل مع تطبيقات SaaS، مثل Google Workspace وMicrosoft 365، تتمتع بإمكانية الوصول إلى مستويات عالية من المحتوى وتشكل مخاطر مثل سرقة البيانات ومشكلات الامتثال.
أجرى الباحثون في Spin.AI مؤخرًا تقييمًا للمخاطر على حوالي 300,000 امتداد للمتصفح وتطبيقات OAuth التابعة لجهات خارجية المستخدمة داخل بيئات المؤسسات. كان التركيز على ملحقات المتصفح المستندة إلى Chromium عبر متصفحات متعددة مثل Google Chrome وMicrosoft Edge.
ملحقات عالية المخاطر
وأظهرت الدراسة أن 51% من جميع الملحقات المثبتة كانت عالية الخطورة وكان من الممكن أن تسبب أضرارًا جسيمة للمؤسسات التي تستخدمها. تتمتع جميع الإضافات بالقدرة على التقاط البيانات الحساسة من تطبيقات المؤسسة، وتشغيل JavaScript ضار، وإرسال البيانات المحمية خلسة بما في ذلك التفاصيل المصرفية وبيانات اعتماد تسجيل الدخول إلى أطراف خارجية.
معظم الإضافات – 53% - أن تدور تقييمها كانت ملحقات متعلقة بالإنتاجية. لكن الأسوأ - من وجهة نظر الأمان والخصوصية على الأقل - كان امتدادات المتصفح المستخدمة في بيئات تطوير البرمجيات السحابية: فقد قيمت Spin 56% منها على أنها مخاطر أمنية عالية.
يقول دافيت أساتريان، أحد مؤلفي التقرير الذي صدر هذا الأسبوع: "الخلاصة الرئيسية للمؤسسات من هذا التقرير هي مخاطر الأمن السيبراني الكبيرة المرتبطة بملحقات المتصفح". ويقول: "على الرغم من أن هذه الإضافات تقدم ميزات متنوعة لتحسين تجربة المستخدم والإنتاجية، إلا أنها يمكن أن تشكل تهديدات خطيرة للبيانات المخزنة في المتصفحات مثل Chrome وEdge، أو بيانات SaaS المخزنة في منصات مثل Google Workspace وMicrosoft 365".
أحد الأمثلة على ذلك هو الحادث الأخير الذي قام فيه ممثل التهديد بتحميل ملحق المتصفح الذي يُزعم أنها الوظيفة الإضافية الشرعية لمتصفح ChatGPT ولكنه في الواقع كان حصان طروادة الذي اختطف حسابات الفيسبوك. قام الآلاف من المستخدمين بتثبيت الامتداد وتمت سرقة بيانات اعتماد حساب Facebook الخاصة بهم على الفور. وتضمنت الحسابات المخترقة عدة آلاف من الحسابات التجارية.
قامت Google بسرعة بإزالة الامتداد المسلح من متجر Chrome الرسمي الخاص بها. لكن هذا لم يمنع الآخرين من تحميل ملحقات ChatGPT الأخرى مجانًا إلى نفس المتجر: عثر Spin على أكثر من 200 ملحق ChatGPT على متجر Chrome الإلكتروني في أغسطس، مقارنة بـ 11 فقط في مايو.
ضوابط التراخي
أظهر تحليل Spin أن المؤسسات التي تضم أكثر من 2,000 موظف لديها في المتوسط 1,454 ملحقًا مثبتًا. وكانت أكثرها شيوعًا هي الإضافات المتعلقة بالإنتاجية، والأدوات التي ساعدت المطورين، والإضافات التي أتاحت إمكانية الوصول بشكل أفضل. يمثل أكثر من ثلث (35%) هذه التوسعات مخاطر عالية، مقارنة بـ 27% في المؤسسات التي يعمل بها أقل من 2,000 موظف.
إحدى النتائج المذهلة من تقرير Spin هي العدد الكبير نسبيًا من امتدادات المتصفح - 42,938 - مع مؤلفين مجهولين والتي يبدو أن المؤسسات تستخدمها بحرية دون النظر إلى أي مخاطر أمنية محتملة. يقول أساتريان إن هذه الإحصائية مثيرة للقلق بشكل خاص نظرًا لمدى سهولة قيام أي شخص لديه نوايا خبيثة بنشر ملحق. ومما يزيد الأمور سوءًا حقيقة أنه في بعض الحالات، يتم الحصول على ملحقات المتصفح التي تستخدمها المؤسسات من خارج السوق الرسمية.
يقول أساتريان: "تقوم الشركات أيضًا في بعض الأحيان ببناء ملحقاتها الخاصة للاستخدام الداخلي وتحميلها". "ومع ذلك، قد يؤدي هذا إلى مخاطر إضافية، حيث قد لا تخضع الامتدادات من هذه المصادر لنفس المستوى من التدقيق والفحوصات الأمنية،" مثل تلك المتوفرة في المتاجر الرسمية.
وجدت Spin أن المتصفحات يمكن أن تكون سيئة منذ البداية أو تكتسب أحيانًا صفات ضارة عبر التحديثات التلقائية. يمكن أن يحدث ذلك عندما يتسلل أحد المهاجمين إلى سلسلة التوريد الخاصة بالمؤسسة ويقوم بإدراج تعليمات برمجية ضارة في تحديث مشروع. يمكن للمطورين أيضًا بيع ملحقاتهم إلى جهات خارجية أخرى قد تقوم بعد ذلك بتحديثها بإمكانيات ضارة.
هناك عامل آخر يتعين على المؤسسات مراعاته وهو كيفية استخدام ملحق المتصفح لأذوناته للتصرف بطرق غير متوقعة. يقول أساتريان: "على سبيل المثال، يمكن أن تحصل إحدى الإضافات على إذن "الهوية" ثم تستخدم إذن "طلب الويب" لإرسال هذه المعلومات إلى طرف ثالث".
ويشير إلى أنه من المهم بالنسبة للمؤسسات إنشاء وتنفيذ سياسات تعتمد على أطر إدارة مخاطر الطرف الثالث. إنهم بحاجة إلى تقييم الامتدادات والتطبيقات فيما يتعلق بمخاطر التشغيل والأمن والخصوصية والامتثال، والنظر في تنفيذ عناصر التحكم التلقائية التي تسمح بالامتدادات أو تمنعها بناءً على السياسات التنظيمية.
يقول أساتريان: "نوصي المؤسسات بتقييم ملحقات المتصفح قبل تثبيتها من خلال النظر في عوامل مثل نطاق الأذونات التي يطلبها الملحق، وسمعة المطور، والكشف عن عمليات تدقيق الأمان أو الامتثال". تعتبر التحديثات والصيانة المنتظمة مهمة وكذلك مراجعات المستخدم وتقييماته وأي تاريخ لانتهاكات البيانات أو الحوادث الأمنية.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- تشارت بريم. ارفع مستوى لعبة التداول الخاصة بك مع ChartPrime. الوصول هنا.
- BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
- المصدر https://www.darkreading.com/cloud/study-more-than-half-of-browser-extensions-pose-security-risks
- :لديها
- :يكون
- :ليس
- :أين
- 000
- 1
- 11
- 200
- 35%
- 7
- a
- القدرة
- الوصول
- إمكانية الوصول
- حسابي
- الحسابات
- كسب
- في
- إضافي
- AI
- الكل
- السماح
- أيضا
- من بين
- an
- تحليل
- و
- مجهول
- أي وقت
- أي شخص
- تظهر
- التطبيقات
- التطبيقات
- هي
- AS
- تقييم
- تقييم
- التقييم المناسبين
- أسوشيتد
- At
- التدقيق
- أغسطس
- الكتاب
- الآلي
- أوتوماتيك
- متاح
- المتوسط
- سيئة
- البنوك والمصارف
- على أساس
- BE
- قبل
- أفضل
- حظر
- مخالفات
- المتصفح
- المتصفحات
- نساعدك في بناء
- الأعمال
- لكن
- by
- CAN
- قدرات
- أسر
- الحالات
- سبب
- سلسلة
- شات جي بي تي
- الشيكات
- الكروم
- سحابة
- الكود
- مشترك
- الشركات
- مقارنة
- الالتزام
- تسوية
- أجرت
- نظر
- النظر
- محتوى
- ضوابط
- استطاع
- أوراق اعتماد
- الأمن السيبراني
- البيانات
- خرق البيانات
- تفاصيل
- المطور
- المطورين
- التطوير التجاري
- إفشاء
- بسهولة
- حافة
- الموظفين
- تمكين
- فرض
- تعزيز
- مشروع
- البيئات
- خاصة
- إنشاء
- تقييم
- مثال
- الخبره في مجال الغطس
- تمديد
- اضافات المتصفح
- واسع
- خارجي
- فيسبوك
- حقيقة
- عامل
- العوامل
- المميزات
- أقل
- تركز
- في حالة
- وجدت
- الأطر
- تبدأ من
- معطى
- Go
- شراء مراجعات جوجل
- كان
- نصفي
- يحدث
- يملك
- he
- ساعد
- مرتفع
- تاريخ
- خيل
- كيفية
- لكن
- HTTPS
- هوية
- تحقيق
- أهمية
- in
- بداية
- حادث
- شامل
- بما فيه
- معلومات
- إدراج
- تثبيت
- تركيب
- نية
- داخلي
- إلى
- تقديم
- مسائل
- IT
- انها
- جافا سكريبت
- JPG
- م
- الأقل
- شرعي
- مستوى
- ومستوياتها
- مثل
- تسجيل الدخول
- الرئيسية
- صيانة
- القيام ب
- إدارة
- السوق
- المسائل
- مايو..
- مایکروسافت
- ربما
- الأكثر من ذلك
- أكثر
- متعدد
- حاجة
- جديد
- ملاحظة
- عدد
- أوث
- تحصل
- of
- الوهب
- رسمي
- on
- ONE
- الثلث
- تشغيل
- or
- منظمة
- التنظيمية
- المنظمات
- أخرى
- أخرى
- في الخارج
- على مدى
- الخاصة
- الأحزاب
- إذن
- أذونات
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- سياسات الخصوصية والبيع
- تشكل
- محتمل
- يقدم
- قدم
- خصوصية
- إنتاجية
- محمي
- نشر
- الصفات
- بسرعة
- تقييمات
- واقع
- الأخيرة
- مؤخرا
- نوصي
- منتظم
- نسبيا
- صدر
- إزالة
- تقرير
- سمعة
- التعليقات
- المخاطرة
- تقييم المخاطر
- نماذج إدارة المخاطر
- المخاطر
- يجري
- s
- ادارة العلاقات مع
- نفسه
- يقول
- نطاق
- فحص دقيق
- أمن
- المخاطر الأمنية
- بيع
- إرسال
- حساس
- جدي
- عدة
- أظهرت
- هام
- تطبيقات الكمبيوتر
- تطوير البرمجيات
- بعض
- المصدر
- مصادر
- غزل
- وجهة نظر
- مسروق
- توقف
- متجر
- تخزين
- فروعنا
- دراسة
- هذه
- تزويد
- سلسلة التوريد
- من
- أن
- •
- سرقة
- من مشاركة
- منهم
- then
- تشبه
- هم
- طرف ثالث
- هذا الأسبوع
- هؤلاء
- الآلاف
- التهديد
- التهديدات
- عبر
- إلى
- أدوات
- حصان طروادة
- حصان طروادة
- غير متوقع
- تحديث
- آخر التحديثات
- تم التحميل
- تحميل
- تستخدم
- مستخدم
- تجربة المستخدم
- تعليقات المشاهدين
- المستخدمين
- استخدام
- مختلف
- بواسطة
- وكان
- طرق
- we
- أسبوع
- كان
- متى
- في حين
- من الذى
- مع
- في غضون
- بدون
- عامل
- أسوأ
- أسوأ
- زفيرنت