Тысячи расширений Chrome меняют заголовки безопасности
27/05/21
Тысячи расширений для браузера Google Chrome, доступных в официальном online-магазине Chrome, изменяют заголовки безопасности на популярных web-сайтах, подвергая пользователей риску широкого спектра кибератак.
Каждый раз, когда пользователь обращается к web-сайту, браузер делает запрос на сервер и последний загружает страницу. Хотя сами по себе сайты отображаются с помощью кода HTML, JavaScript и CSS, администраторы сайтов могут добавлять дополнительные настройки в заголовок HTTP-соединения с целью указать браузеру пользователя обрабатывать доставленный контент определенным образом. Не все web-сайты используют заголовки безопасности, но многие из современных web-сервисов обычно используют их для защиты пользователей от атак.
Исследователи из Центра информационной безопасности имени Гельмгольца CISPA попытались оценить количество расширений Chrome, вмешивающихся в заголовки безопасности. С помощью пользовательского фреймворка, созданного специально для целей исследования, эксперты проанализировали 186 434 расширения для Chrome, которые были доступны в официальном интернет-магазине в прошлом году. По результатам исследования, 2485 расширений перехватывали и изменяли по крайней мере один заголовок безопасности, используемый 100 самыми популярными web-сайтами (согласно списку Tranco).
Исследование не фокусировалось на всех заголовках безопасности, а только на четырех наиболее распространенных, таких как Content-Security Policy (CSP), HTTP Strict-Transport-Security (HSTS), X-Frame-Options и X- Content-Type-Options. В 553 случаях вредоносные расширения отключали все четыре заголовка безопасности.
Наиболее часто отключаемым заголовком безопасности был CSP, позволяющий владельцам сайтов контролировать, какие web-ресурсы разрешено загружать странице в браузере, и обеспечивающий защиту от XSS-атак и внедрения данных.