افزونههای مرورگر: تهدیدی پنهان برای امنیت سازمانها
بر اساس گزارش LayerX، افزونههای مرورگر تقریباً روی مرورگر تمام کارمندان نصب شدهاند، اما بهندرت توسط تیمهای امنیتی نظارت یا توسط بخش فناوری اطلاعات کنترل میشوند. این مسئله باعث شده است که تقریباً هر کارمند به یک نقطه آسیبپذیر احتمالی تبدیل شود.
اکثر افزونهها به دادههای حساس دسترسی دارند
۹۹درصد از کاربران سازمانها حداقل یک افزونه روی مرورگر خود نصب کردهاند و ۵۳درصد بیش از ۱۰ افزونه دارند.
۵۳درصد از کاربران سازمانی، افزونههایی با دسترسی "بالا" یا "حساس" نصب کردهاند که میتوانند به کوکیها، گذرواژهها، تاریخچه مرور و دادههای دیگر دسترسی پیدا کنند.
بیش از ۲۰درصد از کاربران سازمانی، افزونههای مبتنی بر هوش مصنوعی مولد (GenAI) دارند که میتوانند کنترلهای دسترسی سازمان به این فناوری را دور بزنند و دو برابر بیشتر از سایر افزونهها به دادههای حساس دسترسی داشته باشند.
۵۸درصد از افزونههای هوش مصنوعی مولد دارای دسترسیهای "بالا" یا "حساس" هستند که این میزان دو برابر میانگین سایر افزونههاست.
اعتبار توسعهدهندگان افزونهها زیر سؤال است
اعتماد به یک افزونه اغلب به شهرت توسعهدهنده آن بستگی دارد، اما:
۵۴درصد از توسعهدهندگان افزونهها از حسابهای ایمیل رایگان (مانند Gmail) استفاده میکنند.
۷۹درصد از آنها فقط یک افزونه منتشر کردهاند.
۲۲درصد از افزونهها کمتر از ۶ ماه سن دارند.
این عوامل، ارزیابی اعتبار افزونهها را تقریباً غیرممکن میسازد.
افزونههای بهروز نشده: تهدیدی رو به رشد
۵۱درصد از افزونهها در بیش از یک سال گذشته بهروزرسانی نشدهاند و در معرض آسیبپذیریهای نرمافزاری قرار دارند.
۲۵درصد از افزونهها بیش از یک سال بهروز نشدهاند و توسط توسعهدهندگانی منتشر شدهاند که فقط یک حساب Gmail دارند، که نشاندهنده احتمال رها شدن این افزونههاست.
استفاده از ایمیل رایگان لزوماً به معنای مخرب بودن افزونه نیست، اما این مسئله امکان جعل هویت و انتشار افزونههای مخرب را برای مهاجمان آسان میکند.
افزونههای غیررسمی و خطر نصب جانبی
اگرچه Chrome، Edge و Firefox رایجترین فروشگاههای افزونه هستند، اما:
۱۷درصد از افزونههای نصبشده در محیطهای سازمانی از فروشگاههای غیررسمی دریافت شدهاند.
۲۶درصد از طریق نصب جانبی (Side Loading) مستقر شدهاند، یعنی توسط یک فرآیند یا برنامه دیگر مستقیماً روی مرورگر نصب شدهاند.
اور اشد، مدیرعامل LayerX Security، میگوید: افزونههای مرورگر به یکی از بزرگترین تهدیدهای نادیده گرفتهشده در محیطهای سازمانی تبدیل شدهاند. گزارش ما نشان میدهد که افزونهها نهتنها در سازمانها همهجا حاضر هستند، بلکه دارای دسترسیهای بالا، بدون بررسی امنیتی و اغلب متعلق به انتشاردهندگان ناشناس هستند. این یک ریسک جدی است که دیگر نمیتوان آن را نادیده گرفت.
این گزارش نشان میدهد که سازمانها باید سیاستهای نظارتی دقیقتری برای مدیریت افزونههای مرورگر اعمال کنند تا از دادههای حساس در برابر سوءاستفاده محافظت شود.
منبع: مدادپرس
www.medadpress.ir