لا تزال إضافات “متصفح كروم” تمثل خطراً على الأمان الرقمي، رغم تطوير إطار العمل الجديد “Manifest V3” الذي كان من المفترض أن يعزز الحماية ضد الهجمات الإلكترونية. أظهر بحث جديد من شركة “SquareX” أن الإصدار الأحدث من إطار “كروم” للتوسعات ما زال يعاني من مشكلات أمنية تمكّن الإضافات الضارة من تجاوز تدابير الحماية الأساسية، مما يعرض ملايين المستخدمين لمخاطر مثل سرقة البيانات وبرمجيات خبيثة.
اقرأ/ي أيضاً: ارتفاع هجمات التصيد الإلكتروني في 2024 مع تبني القراصنة أدوات الذكاء الاصطناعي
تحاول إضافات المتصفح تسهيل الاستخدام وزيادة الإنتاجية، ولكنها تحولت أيضاً إلى أداة استغلال للمتسللين الذين يستهدفون الأفراد والمؤسسات على حد سواء. وعلى الرغم من تحديثات “جوجل” لتقييد صلاحيات الإضافات وتوفير حماية أكبر، لا تزال الثغرات في “Manifest V3” تسمح للتوسعات الضارة بالوصول إلى معلومات حساسة وتنفيذ هجمات دون إذن المستخدم.
وتشير التقارير إلى أن هذه التوسعات الخبيثة قد تتجاوز ميزات الأمان وتتمكن من سرقة محتوى المكالمات عبر منصات مثل “جوجل” “Meet” و”Zoom Web”، وإضافة متعاونين غير مصرح لهم إلى مشاريع “GitHub”، وحتى توجيه المستخدمين إلى صفحات احتيالية. وفضلاً عن ذلك، يمكن لهذه الإضافات الوصول إلى سجلات التصفح والملفات المحفوظة وبيانات الكوكيز والمزيد، عبر خدع مثل النوافذ المنبثقة الوهمية لتحديثات البرمجيات، التي تخدع المستخدمين لتحميل برمجيات ضارة.
من جهة أخرى، لا تستطيع الحلول الأمنية المتطورة مثل حماية النقاط الطرفية (EDR/XDR) أو بوابات الويب الآمنة (SWG) أو حلول الحماية القائمة على الحافة (SASE) تحليل هذه الإضافات وتقييم مخاطرها بشكل ديناميكي، مما يجعل المؤسسات غير قادرة على اكتشاف النشاط الخبيث لهذه التوسعات.
ولتفادي هذه المخاطر، طوّرت “SquareX” حلولاً تقنية تستند إلى سياسات متقدمة تتيح للمسؤولين إمكانية التحكم بالإضافات المسموح بها اعتماداً على معايير معينة كالصلاحيات وسجل التحديثات والتقييمات. تتيح هذه الحلول أيضاً القدرة على حجب الطلبات الشبكية التي تقوم بها الإضافات في الوقت الحقيقي بناءً على التحليل الآلي والرؤية التنبؤية.
وأكد المدير التنفيذي لشركة “SquareX”، فيفيك راماشاندران، أن “الإضافات تعتبر نقطة ضعف حقيقية بالنسبة للأنظمة الأمنية”، مضيفاً: “بدون تحليل ديناميكي وقدرة على تطبيق سياسات صارمة، من الصعب منع الهجمات المحتملة. ورغم النية الجيدة لإطار Manifest V3، إلا أنه لم يحقق الأمان المطلوب حتى الآن.”