企业如何安全审计浏览器扩展:系统化防御指南

本文深入探讨了恶意浏览器扩展对企业安全构成的严重威胁,并提供了包括制定策略、集中管理、多层防御和持续监控在内的系统化防护方案,以及实用的扩展风险审查工具与方法。

恶意浏览器扩展仍然是许多企业网络安全团队的严重盲点。它们已成为网络犯罪工具箱中的常备工具,被用于会话和账户盗窃、间谍活动、掩盖其他犯罪活动、广告欺诈和加密货币盗窃。涉及恶意扩展的高调事件屡见不鲜——从 Cyberhaven 安全扩展的沦陷到信息窃取程序扩展的大规模发布。

扩展之所以对攻击者具有吸引力,是因为它们被授予了权限,并能广泛访问 SaaS 应用程序和网站内的信息。由于它们不是独立的应用程序,因此经常绕过标准安全策略和控制工具。

公司的安全团队必须系统地解决这个问题。管理浏览器扩展需要结合策略管理工具以及专门的扩展分析服务或实用程序。这是 Athanasios Giatsos 在 2025 年安全分析师峰会 (SAS 2025) 上演讲的重点。

Web扩展的威胁能力与Manifest V3的创新

浏览器的 Web 扩展具有广泛的网页信息访问权限:它可以读取和修改用户通过 Web 应用程序可访问的任何数据,包括财务或医疗记录。扩展通常还能访问用户通常看不到的重要数据:Cookie、本地存储和代理设置。这大大简化了会话劫持。有时,扩展的能力远超网页范围:它们可以访问用户的位置、浏览器下载、桌面屏幕截图、剪贴板内容和浏览器通知。

在先前主流的扩展架构中,Manifest V2 扩展——适用于 Chrome、Edge、Opera、Vivaldi、Firefox 和 Safari——在功能上与成熟的应用程序几乎没有区别。它们可以持续运行后台脚本、保持不可见的网页打开、从外部网站加载和执行脚本,并与任意站点通信以检索或发送数据。为了遏制潜在的滥用——以及限制广告拦截器——谷歌将 Chromium 和 Chrome 过渡到了 Manifest V3。此更新限制或屏蔽了许多扩展功能。扩展现在必须声明它们与之通信的所有站点,禁止执行动态加载的第三方代码,并且必须使用短命的微服务而不是持久性后台脚本。虽然由于新架构,某些类型的攻击现在更难执行,但攻击者可以轻松地重写其恶意代码,以牺牲隐蔽性为代价保留大部分必要功能。因此,单纯依赖在 Manifest V3 下运行的浏览器和扩展可以简化监控,但并非万灵药。

此外,V3 并未解决扩展的核心问题:它们通常是从使用合法 Google、Microsoft 或 Mozilla 域名的官方应用商店下载的。它们的活动似乎是由浏览器本身发起的,这使得区分扩展执行的操作与用户手动执行的操作变得极其困难。

恶意扩展是如何出现的

基于各种公开事件,Athanasios Giatsos 强调了恶意扩展可能出现的几种情况:

  • 原始开发者出售一个合法且流行的扩展。买家随后用恶意代码“增强”它,用于广告展示、间谍活动或其他邪恶目的。例如 The Great Suspender 和 Page Ruler。
  • 攻击者入侵开发者的账户,并为现有扩展发布一个特洛伊木马化的更新,Cyberhaven 事件就是这种情况。
  • 该扩展从一开始就被设计成恶意的。它要么伪装成有用的工具,例如伪造的 Save to Google Drive 工具;要么模仿流行扩展的名称和设计,比如可用的几十个 AdBlock 克隆版。
  • 此方案的一个更复杂版本是,最初以干净状态发布扩展,执行真正有用的功能。然后在几周甚至几个月后,待扩展获得足够人气时,再引入恶意附加功能。ChatGPT for Google 就是一个例子。

在所有这些情况下,该扩展在 Chrome Web Store 上广泛可用,有时甚至被推广。然而,也存在一种针对性攻击场景,即网络钓鱼页面或消息诱使受害者安装一个不向公众提供的恶意扩展。

通过 Chrome Web Store 进行集中分发,再加上浏览器和扩展的自动更新,通常导致用户在不知不觉中安装了恶意扩展,而无需他们进行任何操作。如果计算机上已安装的扩展收到恶意更新,该更新将被自动安装。

针对恶意扩展的组织防御措施

在演讲中,Athanasios 提供了一些通用建议:

  • 制定关于使用浏览器扩展的公司政策。
  • 禁止任何未被网络安全和 IT 部门明确列入批准列表的扩展。
  • 持续审计所有已安装的扩展及其版本。
  • 当扩展更新时,跟踪其获得权限的变化,并监控扩展所有权或其开发团队的任何变化。
  • 将有关使用浏览器扩展的风险和规则的信息纳入面向所有员工的安全意识培训计划。

我们为这些建议补充一些实用见解和具体考量。

限制扩展和浏览器列表。 除了对公司官方批准的应用浏览器应用安全策略外,禁止安装便携式版本和像 Comet 这样的时髦 AI 浏览器或其他未经授权的解决方案(这些方案允许安装同样危险的扩展)也至关重要。实施此步骤时,请确保本地管理员权限仅限于 IT 人员和其他工作职责严格需要的员工。

作为公司主要浏览器策略的一部分,您应禁用开发者模式,并禁止从本地文件安装扩展。对于 Chrome,您可以通过管理控制台进行管理。这些设置也可以通过 Windows 组策略、macOS 配置描述文件或在 Linux 上通过 JSON 策略文件获得。

托管更新。 实施版本固定,以防止已允许的扩展更新在全公司范围内立即安装。IT 和网络安全团队需要定期测试已批准扩展的新版本,并仅在审查后才固定更新后的版本。

多层防御。 必须在所有公司设备上安装 EDR 代理,以防止用户启动未经授权的浏览器,降低访问恶意钓鱼网站的风险,并阻止恶意软件下载。还必须在防火墙级别跟踪 DNS 请求和浏览器网络流量,以实时检测与可疑主机的通信和其他异常情况。

持续监控。 使用 EDR 和 SIEM 解决方案从员工工作站收集浏览器状态详细信息。这包括每个已安装浏览器中的扩展列表,以及用于版本和权限分析的清单文件。这样可以快速检测新扩展的安装或版本更新以及权限更改。

如何审查浏览器扩展

要实施上述控制措施,公司需要一个内部数据库来存储已批准和禁止的扩展。不幸的是,应用商店和浏览器本身没有提供在企业规模上评估风险或自动填充此类列表的机制。因此,网络安全团队必须创建这个流程和列表。员工还需要一个正式程序来提交将扩展添加到批准列表的请求。

对业务需求和可用替代方案的评估最好与相关业务部门的代表一起进行。然而,风险评估完全由安全团队负责。您无需手动下载扩展并在不同的扩展商店中进行交叉比对。这项任务可以由一系列工具处理,例如开源实用程序、免费在线服务和商业平台。

像 Spin.AI 和 Koidex(原 ExtensionTotal)这样的服务可用于评估整体风险状况。两者都维护着一个流行扩展的数据库,因此评估通常是即时的。它们使用 LLM 生成扩展属性的简要摘要,但也提供详细分析,包括所需权限、开发者资料以及版本、评级和下载历史。

要查看扩展的核心数据,您也可以使用 Chrome-Stats。该服务主要面向扩展开发者设计,但会显示评级、评论和其他商店数据。关键的是,它允许用户直接下载扩展的当前版本和几个先前版本,这简化了事件调查。

您可以使用像 CRX Viewer 这样的工具对可疑或关键任务扩展进行更深入的分析。该工具允许分析师检查扩展的内部组件,方便地过滤和显示内容,并重点关注 HTML 和 JavaScript 代码。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次