Riset Mengungkap Lebih dari 2000 Ekstensi Chrome yang Dinonaktifkan Header Keamanan

Riset Mengungkap Lebih dari 2000 Ekstensi Chrome yang Dinonaktifkan Header Keamanan

 

Puluhan ribu ekstensi Google Chrome yang dapat diakses dari Toko Daring Chrome resmi memanipulasi tajuk keamanan di situs web utama, menimbulkan bahaya serangan web bagi pengunjung.
Meskipun header keamanan sedikit diketahui, mereka adalah aspek penting dari ekosistem internet saat ini. Komponen kunci dari keamanan situs web adalah header keamanan HTTP. Saat diterapkan, ini melindungi pengguna dari jenis serangan yang paling mungkin terjadi di situs web. Header ini melindungi XSS, kode injeksi, clickjacking, dll.
Dalam banyak kasus lain, sesuai tim peneliti, mereka memeriksa CSP dan header keamanan lainnya, menonaktifkan ekstensi Chrome “untuk memperkenalkan fungsi tambahan yang tampaknya tidak berbahaya pada halaman web yang dikunjungi”, dan bahkan tidak terlihat seperti tujuan jahat. Itu karena kerangka kerja Chrome memaksa ekstensi atas nama keamanan untuk melakukannya, secara paradoks. Kode ekstensi standar dapat mengakses halaman DOM, tetapi tidak ada skrip di halaman yang dapat berinteraksi.
Jika pengguna memiliki akses ke situs web, browser meminta halaman web server. Meskipun situs web sendiri disajikan melalui kode HTML, JavaScript, dan CSS, pemilik situs web dapat mengarahkan browser untuk menangani materi yang disediakan dengan berbagai cara dengan menambahkan parameter tambahan di header koneksi HTTP.
Meskipun tidak semua situs web memiliki tajuk keamanan, banyak layanan Web terkemuka saat ini biasanya menggabungkannya untuk melindungi pelanggan mereka dari serangan, karena mereka sering kali menghadapi lebih banyak serangan berbasis web daripada situs konvensional, karena ukurannya yang lebih besar.
Meskipun pengelola situs web mengonfigurasi tajuk keamanan mereka, ini tidak berarti bahwa tajuk keamanan masih ada di sisi klien di mana hal-hal seperti itu dapat dideteksi dan dicegah oleh penyerang dengan skema serangan jarak menengah, malware yang dijalankan pada sistem operasi, atau ekstensi browser.
Peneliti di CISPA Helmholtz Center menyatakan bahwa mereka mencoba mengevaluasi jumlah ekstensi Chrome yang telah dirusak oleh header untuk pertama kalinya.
Tim peneliti telah mempelajari 186.434 ekstensi Chrome, yang dapat diakses tahun lalu di Toko Web Chrome resmi, menggunakan infrastruktur khusus yang mereka kembangkan secara khusus untuk penelitian.
Analisis mereka menemukan bahwa 2.485 ekstensi mencegat dan mengubah setidaknya satu tajuk keamanan yang digunakan oleh 100 situs web Top 100 paling terkenal saat ini. Studi ini berfokus pada empat header keamanan yang paling umum: Content Security Policy (CSP), HTTP Strict Transport Security (HSTS), X-Frame Options, dan X-Content-Type Options.
Sementara 2.485 ekstensi telah menonaktifkan setidaknya satu, peneliti menemukan bahwa 553 dinonaktifkan oleh semua 4 header keselamatan yang dipelajari selama penyelidikan mereka.
CSP, tajuk keamanan yang dibuat untuk memungkinkan pemilik situs mengatur sumber daya internet apa yang dapat diisi oleh halaman di dalam peramban serta pertahanan standar untuk mencegah situs web dan peramban dari XSS dan suntikan kumpulan data, adalah tajuk yang paling banyak diblokir karena masalah keamanan.

Pos terkait