Web extension đã trở thành một phần không thể thiếu trong trình duyệt web. Tuy nhiên, ẩn sau lớp vỏ của sự tiện lợi là những rủi ro bảo mật mà nhiều người dùng không hề hay biết.
Gần đây, giới công nghệ chấn động trước thông tin về một chiến dịch tấn công quy mô lớn nhằm vào các web extension, sử dụng mã độc để đánh cắp thông tin đăng nhập của người dùng. Hơn 25 tiện ích, với tổng số hơn hai triệu lượt cài đặt, đã bị tấn công.
Mặc dù đây không phải là lần đầu tiên các web extension trở thành mục tiêu tấn công, nhưng chiến dịch lần này đánh dấu một bước leo thang nghiêm trọng về cả quy mô lẫn mức độ tinh vi, làm dấy lên những lo ngại sâu sắc về những nguy cơ mà web extension có thể mang lại.
Web extension – “Gót chân Achilles” của bảo mật web
Web extension đã trở thành một phần không thể thiếu trong cuộc sống số hiện đại. Thế nhưng, ít ai nhận ra rằng đằng sau những tính năng hữu ích đó là những quyền truy cập sâu rộng – có thể biến thành thảm họa nếu rơi vào tay kẻ xấu.
Nhiều tiện ích được phép truy cập dữ liệu nhạy cảm như cookie, thông tin cá nhân, lịch sử duyệt web và nội dung văn bản. Với các tổ chức, tình hình càng nguy hiểm hơn khi nhiều doanh nghiệp không kiểm soát được các tiện ích mà nhân viên của mình cài đặt. Một tài khoản bị đánh cắp có thể trở thành cánh cửa dẫn đến rò rỉ dữ liệu và những hậu quả nghiêm trọng khác.
Mảnh đất màu mỡ cho tin tặc
Web extension thường được thiết kế để tối ưu hóa hiệu suất công việc, nhưng chính quyền truy cập mà chúng yêu cầu đã biến chúng thành mục tiêu hấp dẫn của tin tặc. Những công cụ có lượng người dùng lớn trở thành “món mồi” béo bở cho các nhóm tấn công.
Bên cạnh đó, các GenAI, thường yêu cầu quyền truy cập sâu vào dữ liệu của người dùng, cũng nằm trong danh sách dễ bị tấn công. Đặc biệt, các tiện ích VPN, vốn cần truy cập mạng sâu để hoạt động, cũng là mục tiêu lý tưởng vì mức độ nhạy cảm của thông tin mà chúng xử lý.
Điều đáng lo ngại là ngay cả các tiện ích trên Chrome Web Store – vốn được xem là nguồn cung cấp đáng tin cậy – cũng không hoàn toàn an toàn. Theo các báo cáo, nhiều tiện ích bị xâm phạm thông qua các chiến dịch lừa đảo nhắm vào chính nhà phát triển.
Tin tặc đã tận dụng thông tin liên lạc công khai trên nền tảng này để thực hiện các cuộc tấn công, cho thấy ngay cả những tiện ích “chính thống” cũng có thể bị biến thành công cụ đánh cắp dữ liệu.
Làm thế nào để bảo vệ tổ chức?
Theo các chuyên gia VSEC, trong bối cảnh các cuộc tấn công vào web extension ngày càng gia tăng, các cá nhân và tổ chức cần có các biện pháp bảo vệ cụ thể. Người dùng cần hiểu rõ các extension mình cài đặt, chúng yêu cầu quyền truy cập nào và tiềm ẩn những rủi ro gì. Điều này giúp tạo ra bức tranh toàn diện hơn về nguy cơ mà các tiện ích này có thể mang lại.
Với các tổ chức, cần có chiến lược quản lý chặt chẽ hơn. Việc phân loại các web extension dựa trên tính chất và mức độ rủi ro sẽ giúp doanh nghiệp dễ dàng xác định các khu vực cần ưu tiên bảo vệ. Chẳng hạn, các tiện ích thuộc nhóm productivity hoặc xử lý dữ liệu như VPN và GenAI có thể cần được kiểm soát chặt chẽ hơn do mức độ truy cập của chúng vào hệ thống mạng và dữ liệu doanh nghiệp.
Ngoài ra, đánh giá chi tiết các quyền truy cập mà tiện ích yêu cầu là một bước không thể bỏ qua. Các tổ chức cần xác định những quyền này có thực sự cần thiết hay không và liệu chúng có thể bị lợi dụng để xâm phạm dữ liệu hay không. Đồng thời, việc chỉ cài đặt các tiện ích đến từ nhà phát triển uy tín và có đánh giá cao cũng giúp giảm thiểu nguy cơ bị tấn công.
Web extension mang lại nhiều tiện lợi và giá trị, nhưng đồng thời mở ra những lỗ hổng bảo mật nghiêm trọng. Các tổ chức cần sớm có chiến lược bảo mật và bảo vệ hệ thống trước những rủi ro đến từ tiện ích trình duyệt. Việc chủ động kiểm soát và đánh giá sẽ không chỉ giảm thiểu nguy cơ mà còn giúp doanh nghiệp củng cố hệ thống bảo mật trong thời đại số hóa ngày nay.
Tìm hiểu thêm về dịch vụ VSEC đánh giá và kiểm thử xâm nhập hệ thống để bảo vệ hệ thống doanh nghiệp của bạn tối ưu và toàn diện nhất.
