كشفت دراسة حديثة أن إضافات كروم لا تزال تمثل تهديدًا كبيرًا على أمان المستخدمين، وذلك على الرغم من التحديثات الأمنية الأخيرة التي أجرتها جوجل. تمكنت الإضافات الخبيثة من استغلال ثغرات في النظام الجديد لسرقة البيانات الحساسة للمستخدمين. لذا يُنصح المستخدمون بتوخي الحذر عند تثبيت الإضافات والالتزام بتحميلها من مصادر موثوقة.
إضافات كروم: تهديد مستمر على أمان المستخدمين
أظهرت دراسة حديثة أن إضافات متصفح كروم قد لا تزال تشكل تهديدًا أمنيًا كبيرًا، حيث تمكنت من استغلال الثغرات وسرقة بيانات المستخدمين على الرغم من جهود جوجل لتحسين الأمان من خلال إطار العمل الجديد للإضافات المعروف باسم Manifest V3. هذا الإطار تم تطويره بهدف تعزيز الأمان والكفاءة في عمل الإضافات وهو تحديث للإصدار السابق Manifest V2 الذي كان يحتوي على نقاط ضعف استغلها مطورون لإنشاء إضافات ضارة.
Manifest V3 لا يزال غير كافٍ لحماية المستخدمين من إضافات كروم الخبيثة
الدراسة التي أجرتها شركة الأمن السيبراني SquareX كشفت عن وجود ثغرات في Manifest V3 تعرض ملايين المستخدمين لمخاطر البرمجيات الخبيثة. وعلى الرغم من التحديثات التي تم إدخالها لتحسين الأمان إلا أن الإضافات الخبيثة لا تزال قادرة على تجاوز هذه التدابير الأمنية وتستطيع سرقة البيانات من منصات مثل زوم وجوجل ميت حتى دون إمتلاك صلاحيات خاصة.
كما أظهرت النتائج أن هذه الملحقات الضارة يمكن أن توجه المستخدمين إلى صفحات تصيد احتيالي تهدف لسرقة كلمات المرور وسرقة الحسابات. على الرغم من أن هدف Manifest V3 هو خفض مستوى الصلاحيات الممنوحة للإضافات إلا أن الدراسة وجدت أن الإضافات الخبيثة لا تزال تستطيع الوصول إلى معلومات حساسة مثل سجل التصفح وملفات تعريف الارتباط والمفضلات، من خلال استغلال نوافذ منبثقة مزيفة تدعي أنها تحديثات برمجية.
تواجه أدوات الأمان في المتصفح صعوبة في اكتشاف الأنشطة المشبوهة لهذه الإضافات، الأمر الذي يترك المستخدمين عرضة لهجمات محتملة. وأكدت الدراسة أنه بدون التحليل الديناميكي إنفاذ الصرامة في السياسات لن تتمكن المؤسسات من تحديد هذه الهجمات أو تحيدها في إشارة إلى أن Manifest V3 لا يزال في مراحله الأولى ومن غير المتوقع بقريب أن يحقق مستوى الأمان المنشود.
لذا يُنصح المستخدمون بتثبيت الإضافات الموثوقة فقط من متجر جوجل "Chrome Web Store"، وتجنب تثبيت أي إضافات غير معروفة أو مشبوهة بالإضافة إلى حذف الإضافات غير الضرورية للحفاظ على أمان بياناتهم.