按 Enter 到主內容區
:::

TWCERT-電子報

:::

使用瀏覽器與擴充套件應注意之資安威脅與防護

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-06-30
  • 點閱次數:614
使用瀏覽器與擴充套件應注意之資安威脅與防護

1.簡介
2.瀏覽器之資安威脅
3.瀏覽器資安防護
4.結論與建議


  • 網頁瀏覽器種類繁多,且每一種瀏覽器的功能都不盡相同,使用者可根據自身需求選擇最適合的瀏覽器,Internet Explorer、Google Chrome、Mozilla Firefox、Safari、Microsoft Edge,以及Opera為較常見之瀏覽器。
  • 目前全球使用數量最多的瀏覽器為Google Chrome,同時也是國內使用比例最高之瀏覽器。
  • 瀏覽器本身連接網際網路時,難免會有機敏資訊或具有一定價值的資料也透過瀏覽器進行傳遞或儲存,導致攻擊者將瀏覽器與瀏覽伺服器視為攻擊目標。
  • 當漏洞被發現後,大部分的廠商會在短時間內進行修補,若使用者未在第一時間配合更新修補,一旦攻擊者透過該漏洞進行惡意行為,仍會因此受害。
  • 除了瀏覽器本身,越來越多的擴充套件也逐漸成為攻擊者的目標。攻擊者會透過帶有惡意程式或有漏洞的擴充套件,進行惡意行為。
  • 為減少瀏覽器及擴充套件所帶來之資安威脅,使用者必須採取防範措施,包括提升資安意識、採用自動即時更新、讓權限最小化等,避免資訊外洩,甚至造成財務或人身安全之威脅。

一、簡介

網頁瀏覽器(Web Browser)簡稱瀏覽器,是一種用來連接網際網路,存取網站並進行相關活動的應用程式。市面上的瀏覽器各有其特色,使用者可選擇自己喜好的瀏覽器使用。較常被使用的瀏覽器包含Internet Explorer (簡稱IE)、Google Chrome (簡稱Chrome)、Mozilla Firefox (簡稱Firefox)、Safari、Microsoft Edge (簡稱Edge),以及Opera。

根據愛爾蘭網站流量分析工具網站StatCounter,2020年5月的全球統計,最多使用者的瀏覽器為Google Chrome,佔全球所有使用者的63.93%,第二是Safari瀏覽器佔18.19%,再者為Firefox瀏覽器佔4.38%。於同一時間的統計中,國內最多使用者的瀏覽器為Google Chrome,佔國內所有使用者的63.94%,第二為Safari瀏覽器佔26.73%,再者為Firefox瀏覽器佔1.85%,可見國內瀏覽器的使用狀況與全球瀏覽器使用狀況相差不大。

為了滿足使用者的特定需求,諸多瀏覽器於是開放瀏覽器擴充套件(Brower Extension)功能,讓使用者安裝使用。然而,隨著瀏覽器的種類、功能及擴充套件的類型越來越多,使用者越來越便於使用,卻也導致了瀏覽器成為攻擊者的目標。

TOP

二、瀏覽器之資安威脅

瀏覽器資安威脅案例

對使用者而言,瀏覽器的許多功能,例如記錄使用者曾經瀏覽過的網站、記憶相關帳號密碼等,都相當便利且重要。但對攻擊者而言,網頁瀏覽器就猶如寶庫一般,一旦成功控制使用者的瀏覽器,所有個資都將一覽無遺。攻擊者在入侵受害者的瀏覽器後,所著重的目標及竊取的資訊大致有下述五種:

  1. 瀏覽的歷史紀錄:攻擊者透過檢閱使用者的瀏覽歷史紀錄,可以得知使用者的習慣、興趣、訪問網站的類型,以及使用者的行為模式,藉此知道透過何種方式及類型容易讓使用者上鈎,或是在盜用使用者電子商務帳號購物時,知道應支付何種類型的商品,較能順利取得。
  2. 儲存的密碼:大部分的瀏覽器都有儲存特定網站帳號密碼的功能,一旦攻擊者入侵使用者的瀏覽器,其帳號、密碼,以及其帳密所使用的網站都將一覽無遺,甚至可重置使用者的網站帳密,讓使用者除了資料遭竊外,更可能產生自己反而無法登入的困境與損失。
  3. 自動填入的資訊:許多瀏覽器會協助記錄使用者常用的資訊,包括電子商務網站的付款方式、信用卡卡號、通信地址、電話號碼等,讓使用者在遇到常見的欄位時自動帶入,省掉填寫的麻煩。上述資訊若毫無防護地被竊取,除了財務上的損失外,更嚴重的可能有人身安全之憂慮。
  4. Cookie:為方便再次連線上網,需要記錄使用者身分、上次連線時的狀態、內容、活動等資訊,用以接續上一次連線後繼續使用。然而,這些紀錄可能導致攻擊者獲取使用者的行為模式,竊取身分資訊,進行更嚴重的惡意行為。
  5. 快取(Cache):許多網站為了增加處理效率,伺服器會將一部分的網頁內容存在本機中,減少下一次使用者連線時所需花費的時間。然而,快取資訊同樣也暴露了使用者與網站連線之行為軌跡,攻擊者可透過該行為模式設計針對性的攻擊手法,讓使用者更容易上當受騙。

瀏覽器與瀏覽伺服器之漏洞,可能導致瀏覽器與瀏覽伺服器的損壞、資料被竊取或遭他人控制。其威脅類型大致如下:

  1. 阻斷服務攻擊(Denial-of-Service, DoS):透過DoS漏洞,攻擊者可運用特定手段,導致系統運行錯誤或中斷服務。
  2. 代碼執行(Code Execution):透過代碼執行漏洞,攻擊者可在受害系統中執行任意程式碼,促使系統服務中斷或竊取機敏資訊。
  3. 溢位攻擊(Overflow):透過溢位攻擊漏洞,攻擊者可輸入過大的資料,引發系統服務中斷,甚至可以在其中執行任意程式碼。
  4. 記憶體損壞(Memory Corruption):透過記憶體損壞漏洞,攻擊者可輸入特定程式或字串,讓系統記憶體損壞,進而產生服務中斷或其他問題。
  5. 跨網站指令碼(Cross-Site Scripting, XSS):透過跨網站指令碼漏洞,攻擊者可注入惡意程式碼於網站中,使其他瀏覽該網頁的使用者也受到惡意程式碼影響。
  6. 規避(Bypass Something):透過規避漏洞,攻擊者可繞過系統安全驗證機制,進而取得相關權限以竊取資訊或進行惡意行為。
  7. 資料洩漏(Gain Information):透過資料洩漏漏洞,攻擊者可用特定方式,取得部分未能落實資安防護的機敏資訊。
  8. 擴權(Gain Privilege):透過擴權漏洞,攻擊者可經由特定路徑或程式碼,取得特定人士或更高層級的權限,進行惡意行為。

許多瀏覽器會定時提供更新檔以修補被發現之資安漏洞,但諸多使用者通常不會即時更新,以致受到嚴重之資安威脅。透過瀏覽器與瀏覽伺服器之資安漏洞進行攻擊之案例如下:

  1. 針對IE瀏覽器漏洞散播勒索病毒:滲透測試工具Magnitude在2019年10月,被發現針對IE瀏覽器的CVE-2018-8641以及CVE-2019-1367漏洞進行攻擊,以此散播勒索病毒,此次的攻擊對象以亞太地區為主。
  2. 利用IE與Firefox瀏覽器漏洞散播惡意程式:2020年1月,攻擊者利用Firefox的資安漏洞CVE-2019-17026,以及IE的資安漏洞CVE-2020-0674,對其使用者進行攻擊。該攻擊主要是先將使用者導至惡意網站中,下載針對漏洞的攻擊程式碼,進而散播惡意程式。
  3. 針對Chrome瀏覽器漏洞發動之水坑攻擊:2019年11月,韓國新聞網站遭攻擊者入侵,被載入惡意腳本,進行水坑攻擊(Watering Hole Attack),並且利用Chrome瀏覽器漏洞CVE-2019-13720,讓受害主機下載其他惡意程式,進而達到散播惡意程式之目的。

除了上述實際案例之外,有更多的資安漏洞還未被發現或尚未進行明顯之惡意行為。雖然瀏覽器的資安相當重要,但其漏洞修補方式仍然是以更新系統版本為主,一旦使用者未能配合廠商即時更新且還持續使用,則其面臨的資安風險將會大增。

瀏覽器擴充套件資安威脅案例

大部分的瀏覽器,為了提升其便利性及客製化功能,都建立擴充套件商店,讓使用者自行選擇安裝,使瀏覽器更加符合自身需求。然而,難免有些擴充套件存有資安漏洞或含有惡意程式,增添使用者的資安風險。根據Firefox的擴充套件政策,指出擴充套件除了基本功能以外,不應有下列行為:

  1. 損害使用者的隱私或安全性:例如將使用者資訊在未被允許下,傳送給第三方。
  2. 更改瀏覽器設定:瀏覽器本身存有許多預設設定,包含分頁管理、下載詢問或搜索引擎等,擴充套件不應自動變更其設定。
  3. 對瀏覽器或網頁內容進行更改:例如在瀏覽網頁時,對網頁的大小、形式做變更,甚至置入廣告等行為,都不應存在。
  4. 存有與主要功能無關的其他功能或特性:例如新聞訂閱擴充套件可存取使用者的通訊檔案,或是語言翻譯軟體自動下載額外檔案,都是在擴充套件主要功能外不應有的行為。

大部分的瀏覽器均要求開發者提供足夠透明化的擴充套件,讓使用者能清楚地識別該擴充套件之功能,但仍有諸多擴充套件因存有資安漏洞,而成為攻擊目標。透過擴充套件之資安漏洞進行攻擊之案例如下:

  1. 被用以攻擊俄羅斯醫院之Adobe Flash Player資安漏洞:2018年12月,Adobe緊急修補一個被用於攻擊俄羅斯醫院Polyclinic No.2的CVE-2018-15982資安漏洞。該漏洞讓攻擊者可以遠端執行任意程式碼,達成傳播惡意程式並控制受害主機的目的。
  2. 存有竊取個資惡意程式碼之Chrome擴充套件:2018年9月,MEGA.nz文件共享服務之Chrome擴充套件被發現存有惡意程式,會竊取使用者的帳號、密碼,以及加密貨幣帳號及金鑰,以獲取不法利益。
  3. 私下記錄個人購物行為之優惠券擴充套件:2019年12月,Amazon提出對瀏覽器擴充套件Honey的安全風險警告,認為該擴充套件會侵犯使用者的隱私。Honey是一種搜尋相關優惠券之擴充套件,Amazon認為Honey會在未經使用者同意的情況下,蒐集並跟蹤個人購物資訊,因此提出警告。

擴充套件雖然僅為瀏覽器的附屬工具,但其可能產生的資安危害依舊不小,使用者必須在安裝瀏覽器擴充套件時多加留意,一旦使用的擴充套件被發現有安全漏洞,應立刻配合廠商進行修補、更新,以維持其安全性。

TOP

三、瀏覽器資安防護

許多攻擊者會針對特定具足夠價值的資訊進行破解及竊取,包括瀏覽的歷史紀錄、儲存的密碼、自動填入的資訊等。因此,為避免這些資訊遭攻擊者竊取,使用者應進行適度的防護機制:

  1. 瀏覽歷史紀錄應定期清除或使用無痕模式:使用者應習慣定期清除瀏覽過的歷史紀錄,尤其是在進行金融資訊、網路銀行等機敏作業之後,應立即清除。此外,使用者也可設定瀏覽器定期清除或於關閉瀏覽器時即自動清除等機制。在使用公共主機或公共網路時,應採無痕模式,避免瀏覽器留下使用者的瀏覽歷程。
  2. 避免瀏覽器自動儲存密碼:使用者應儘量減少透過瀏覽器記憶相關帳號密碼,避免攻擊者在入侵瀏覽器後便竊取所有帳號密碼。
  3. 避免使用自動填入的資訊:使用者應避免使用自動填入功能,盡量以手動輸入方式操作,雖然需花時間輸入相關資訊,但可避免資安威脅。
  4. 應定期清除Cookie資訊:除了可透過無痕模式進行網路行為之外,建議定期清除Cookie資訊,避免留存過多的資訊,導致個資外洩。
  5. 快取應定期清除或使用無痕模式:使用者除了可透過無痕模式瀏覽網頁,避免留存相關紀錄之外,盡量定期清除瀏覽器中的快取資訊,提升使用安全。

除了針對瀏覽器中可能產生資安威脅的資訊進行防護之外,使用者在使用瀏覽器時,也應遵循相關安全措施:

  1. 檢閱瀏覽器安全性相關文件:除了常見的安全建議及教學外,不同的瀏覽器會提供針對該瀏覽器的相關安全性文件,使用者應確實閱讀,並據以操作、設定。
  2. 啟用自動更新:許多使用者並非時常關注瀏覽器版本之修訂狀態,因此,啟用自動更新之功能,一旦出現新版本之應用程式,瀏覽器將會自動更新,避免資安威脅。
  3. 安裝相關防護軟體:除了信任瀏覽器本身的檢測和防護外,使用者亦可安裝額外之防護軟體,搭配瀏覽器達到雙重防護之保障。
  4. 提升資訊安全意識:在進行網路行為時,除了倚賴瀏覽器本身的安全功能外,使用者亦應提高安全意識,避免受騙上當。
  5. 遵循最小權限原則:當使用者在允許或啟用瀏覽器之功能時,應僅選擇真正必需之功能,不會使用到的功能盡量減少啟用,以免成為攻擊者的入侵捷徑。

除了瀏覽器本身之安全隱憂外,其擴充套件也可能成為攻擊者的捷徑及目標。使用者應針對瀏覽器之擴充套件,遵循特定安全機制:

  1. 減少擴充套件安裝數量:僅使用必需的擴充套件,降低安裝到惡意擴充套件之機率,減少因其安全漏洞所產生之資安威脅。
  2. 只從官方商店下載安裝:雖然瀏覽器本身難以確保其擴充套件百分之百的安全,但相較於其他不知名的擴充套件商店,官方商店所提供之擴充套件安全性是較高的。
  3. 注意擴充套件權限要求:若擴充套件會提出不合理的權限要求,往往是資料竊取等惡意行為的前兆。因此,使用者應對其權限要求多加注意。
  4. 關注擴充套件惡意名單:使用者應關注瀏覽器或相關資安公司所公告之擴充套件黑名單,避免下載到惡意的擴充套件,以確保使用安全。

TOP

四、結論與建議

1、由於瀏覽器會處理或儲存使用者許多資訊,因此,不論是瀏覽器本身或其搭配之擴充套件,都是攻擊者的目標。

2、通常瀏覽器都會對自身系統及擴充套件進行一定程度的安全檢測,但仍難免留有資安漏洞,建議不論是個人或企業,都應學習或參與相關教育訓練,減少攻擊者從使用者端進行惡意行為。

3、針對瀏覽器本身的攻擊模式較為固定,企業在進行瀏覽器防護時,應對常見的攻擊模式進行即時監測,一旦有任何攻擊跡象可立即防護,避免擴大受害範圍。

4、擴充套件經過數次改版後,恐遭到攻擊者劫持或開始進行惡意行為。因此,使用者應定期檢閱擴充套件更新後是否有不適當的要求,或已被列入黑名單。也應定期清理沒有持續使用的擴充套件,減少受害機率。

5、建議使用者若非真正必要,盡量減少透過瀏覽器進行機敏資訊的傳輸,尤其與金融相關的申請、轉帳、付費等。也應盡量不安裝與金融或其他機敏資訊相關的擴充套件,以免個人資訊被蒐集、販賣。

6、由於瀏覽器本身是使用者進行網路行為的重要入口,一旦安全性不足,將會導致嚴重的後果。建議使用者必須確認自身安裝的瀏覽器是否足夠安全、是否有足夠能量在發現漏洞後即時修補,甚至是否有持續支援並更新。避免使用到安全防護薄弱的瀏覽器,讓自身處於資安威脅之中。

TOP

回頁首