{"id":2656,"date":"2024-02-06T09:24:18","date_gmt":"2024-02-06T12:24:18","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=2656"},"modified":"2024-02-06T09:24:18","modified_gmt":"2024-02-06T12:24:18","slug":"automatizando-avaliacoes-e-permissoes-de-risco-das-extensoes-de-navegadores","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/automatizando-avaliacoes-e-permissoes-de-risco-das-extensoes-de-navegadores\/","title":{"rendered":"Automatizando Avalia\u00e7\u00f5es e Permiss\u00f5es de Risco das Extens\u00f5es de Navegadores"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><p>Extens\u00f5es de navegadores s\u00e3o uma preocupa\u00e7\u00e3o obscura da TI. Avaliar a reputa\u00e7\u00e3o e seguran\u00e7a de uma extens\u00e3o de navegador \u00e9 crucial antes de instala-la em um computador, as extens\u00f5es normalmente tem diversas permiss\u00f5es que podem ser abusadas para roubo de dados ou outras atividades maliciosas.<\/p><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 ez-toc-wrap-left counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Nesse Artigo<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabela de conte\u00fado\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/aiqon.com.br\/blog\/automatizando-avaliacoes-e-permissoes-de-risco-das-extensoes-de-navegadores\/#Metodo_de_instalacao\" >M\u00e9todo de instala\u00e7\u00e3o<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/aiqon.com.br\/blog\/automatizando-avaliacoes-e-permissoes-de-risco-das-extensoes-de-navegadores\/#Permissoes\" >Permiss\u00f5es<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/aiqon.com.br\/blog\/automatizando-avaliacoes-e-permissoes-de-risco-das-extensoes-de-navegadores\/#Scans_de_vulnerabilidade\" >Scans de vulnerabilidade<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/aiqon.com.br\/blog\/automatizando-avaliacoes-e-permissoes-de-risco-das-extensoes-de-navegadores\/#Whois\" >Whois<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/aiqon.com.br\/blog\/automatizando-avaliacoes-e-permissoes-de-risco-das-extensoes-de-navegadores\/#Hora_da_avaliacao_de_risco\" >Hora da avalia\u00e7\u00e3o de risco<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/aiqon.com.br\/blog\/automatizando-avaliacoes-e-permissoes-de-risco-das-extensoes-de-navegadores\/#Como_automatizar_a_avaliacao_de_risco_da_extensao\" >Como automatizar a avalia\u00e7\u00e3o de risco da extens\u00e3o<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/aiqon.com.br\/blog\/automatizando-avaliacoes-e-permissoes-de-risco-das-extensoes-de-navegadores\/#Conclusao\" >Conclus\u00e3o<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>Em uma companhia com estilo de ambiente aberto, as extens\u00f5es geralmente significam um risco obscuro para TI que precisa ser gerenciado e endere\u00e7ado.<\/p>\n<p>Vamos dar uma luz sobre os desafios de seguran\u00e7a que as extens\u00f5es representam e como voc\u00ea usa o <a href=\"https:\/\/aiqon.com.br\/torq\/\">Torq<\/a> para automatizar a avalia\u00e7\u00e3o do risco que uma extens\u00e3o pode causar.<\/p>\n<p>Decidimos pegar partes de uma certa extens\u00e3o que nos ajuda a capturar telas inteiras de uma p\u00e1gina. Ao navegar na p\u00e1gina oficial da extens\u00e3o, na p\u00e1gina de privacidade tinha um dizer:<\/p>\n<p><strong>\u201cO desenvolvedor garante que n\u00e3o coletar\u00e1 ou utilizar\u00e1 seus dados.\u201d<\/strong><\/p>\n<p>Pois vamos ver na pol\u00edtica de privacidade!<\/p>\n<p>Encontramos duas clausulas:<\/p>\n<blockquote><p><strong>Quando voc\u00ea acessa o nosso servi\u00e7o, podemos automaticamente coletar dados n\u00e3o pessoais seus como p\u00e1ginas vistas, tipo de navegador, servi\u00e7o referido, informa\u00e7\u00e3o de busca, tipo de dispositivo, visualiza\u00e7\u00e3o da p\u00e1gina, utiliza\u00e7\u00e3o e h\u00e1bitos de navega\u00e7\u00e3o no servi\u00e7o e dados similares.<\/strong><\/p><\/blockquote>\n<p>Al\u00e9m de:<\/p>\n<blockquote><p><strong>\u00c9 poss\u00edvel as vezes ao coletar dados n\u00e3o pessoais atrav\u00e9s de meios autom\u00e1ticos que podemos coletar de forma n\u00e3o-intencional ou receber dados pessoais misturados com dados n\u00e3o-pessoais.<\/strong><\/p><\/blockquote>\n<p>Deste ponto, checamos mais propriedades de dados que podiam me ajudar a decidir se essa extens\u00e3o ficaria ou seria removida. Junto a revis\u00e3o da pol\u00edtica de privacidade e a p\u00e1gina web, checamos alguns par\u00e2metros adicionais:<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Metodo_de_instalacao\"><\/span><strong>M\u00e9todo de instala\u00e7\u00e3o<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Como a extens\u00e3o foi instalado \u2013 <strong>NORMAL<\/strong>\u00a0ou <strong>SIDELOAD<\/strong><\/p>\n<ul>\n<li><strong>NORMAL<\/strong>\u00a0\u2013 Extens\u00e3o instalada diretamente pelo usu\u00e1rio direto da loja oficial de extens\u00e3o do navegador.<\/li>\n<li><strong>SIDELOAD<\/strong>\u00a0\u2013 Extens\u00e3o instalada de uma origem fora da loja oficial de extens\u00f5es do navegador.<\/li>\n<li><strong>DSESENVOLVIMENTO<\/strong> \u2013 A Extens\u00e3o foi carregada diretamente no navegador para testes ou prop\u00f3sitos de desenvolvimento, ao inv\u00e9s de ser instalada da loja web ou de um canal oficial de distribui\u00e7\u00e3o<\/li>\n<\/ul>\n<p>Essa extens\u00e3o em particular foi instalada pelo m\u00e9todo de <strong>SIDELOAD<\/strong>, que pode gerar um maior risco por n\u00e3o ter passado pelas avalia\u00e7\u00f5es r\u00edgidas de seguran\u00e7a como ela teria se tivesse vindo de uma loja oficial.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Permissoes\"><\/span>Permiss\u00f5es<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Foram examinadas as permiss\u00f5es \u2013 o que elas permitem que a extens\u00e3o fa\u00e7a. A lista de permiss\u00f5es inclu\u00eda algumas extens\u00f5es perigosas:<\/p>\n<ul>\n<li><strong>&lt;all_urls&gt;<\/strong> &#8211; Permite que a extens\u00e3o acesso todas as p\u00e1ginas web. Essa permiss\u00e3o \u00e9 muito ampla e \u00e9 uma das mais severas em termos de potenciais riscos de privacidade e seguran\u00e7a.<\/li>\n<li><strong>Tabs<\/strong> \u2013 D\u00e1 a extens\u00e3o acesso a v\u00e1rias propriedades nas abas do navegador. Isso pode incluir ler a URL, t\u00edtulo e outros atributos de abas al\u00e9m de fechar, mover e criar novas abas.<\/li>\n<li><strong>unlimitesStorage<\/strong> \u2013 Permite que a extens\u00e3o armazene mais dados do que tipicamente permitido pelo armazenamento local do navegador.<\/li>\n<li><strong>display<\/strong> \u2013 Permite que a extens\u00e3o interaja com as propriedades de display do sistema. Isso pode incluir coisas como:<\/li>\n<li>Consultar metadata do display: Coletar informa\u00e7\u00f5es dos displays conectados, como sua resolu\u00e7\u00e3o, orienta\u00e7\u00e3o, etc.<\/li>\n<li>Manipular as configura\u00e7\u00f5es do display: Alterar configura\u00e7\u00f5es como resolu\u00e7\u00e3o de tela ou orienta\u00e7\u00e3o.<\/li>\n<li>Controlar o layout do display: Posicionar telas em configura\u00e7\u00f5es multi-display.<\/li>\n<li>Script \u2013 Depende no que os scripts s\u00e3o executados (pode estar relacionado a um risco na cadeia de suprimentos)<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Scans_de_vulnerabilidade\"><\/span>Scans de vulnerabilidade<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Usando a extens\u00e3o gratuita de scan <a href=\"https:\/\/crxcavator.io\/\">CRXcavator<\/a> pode nos informar melhor sobre extens\u00f5es que podem ser consideradas em uma avalia\u00e7\u00e3o de risco. Dados de tomada de decis\u00e3o podem ser adicionados atrav\u00e9s de sua API como:<\/p>\n<ul>\n<li><strong>Scan de vulnerabilidade:<\/strong> H\u00e1 alguma vulnerabilidade nos componentes aplicados? Existem vulnerabilidades CISA KEV?<\/li>\n<li><strong>Risco ao longo do tempo:<\/strong> O risco geral da extens\u00e3o, \u00e9 escal\u00e1vel?<\/li>\n<li><strong>CSP (Pol\u00edtica de seguran\u00e7a de conte\u00fado):<\/strong> Detalhamentos avan\u00e7ados.<\/li>\n<li><strong>Networking:<\/strong> Pode estar correlacionado com &lt;all_urls&gt;<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"Whois\"><\/span>Whois<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Utilize o Whois para encontrar a URL da extens\u00e3o do website. Isso pode ajudar a entender mais sobre uma extens\u00e3o, como de onde vem a extens\u00e3o, a idade do dom\u00ednio e muito mais. Whois revelou que a idade do dom\u00ednio dessa extens\u00e3o \u00e9 de 59 dias.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Hora_da_avaliacao_de_risco\"><\/span>Hora da avalia\u00e7\u00e3o de risco<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Dada as informa\u00e7\u00f5es que consegui coletar, posso agora avaliar o risco e tomar uma decis\u00e3o.<\/p>\n<ol>\n<li>A pol\u00edtica de privacidade mostra informa\u00e7\u00f5es n\u00e3o comprometidas sobre a capacidade de coletar PII. Isso tem consequ\u00eancias tremendas no compliance, nas configura\u00e7\u00f5es de privacidade e pol\u00edtica.<\/li>\n<li>Considerando permiss\u00f5es como &lt;all_urls&gt;, scripting, tabs \u2013 Elas geram riscos afetando a privacidade dos dados, conformidade e cadeia de suprimento (scripting?), vazamento de dados, etc.<\/li>\n<li><strong>Considerando o m\u00e9todo de instala\u00e7\u00e3o \u2013 NORMAL, caso este m\u00e9todo tivesse sido utilizado ao menos o risco seria menos, o que n\u00e3o \u00e9 o caso aqui j\u00e1 que foi instalado como SIDELOAD \u2013<\/strong> fora da loja oficial de extens\u00e3o do navegador, o que significa que n\u00e3o foi avaliada pela Google.<\/li>\n<li>Whois \u2013 A idade do dom\u00ednio \u00e9 muito baixa, 59 dias, pode levantar suspeitas de algo, apesar de nem sempre ser necessariamente algo ruim.<\/li>\n<li>Considerando que h\u00e1 algumas vulnerabilidades altas (com alto EPSS).<\/li>\n<\/ol>\n<p>Ap\u00f3s examinar esses pontos acima, assumimos que a melhor conclus\u00e3o \u00e9 remover a extens\u00e3o. Entretanto, em qualquer ambiente h\u00e1 v\u00e1rias vari\u00e1veis que podem causar a tomada de decis\u00e3o de manter a extens\u00e3o instalada.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Como_automatizar_a_avaliacao_de_risco_da_extensao\"><\/span>Como automatizar a avalia\u00e7\u00e3o de risco da extens\u00e3o<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Todo esse trabalho tem de ser feito manualmente, correto? Isso pode ser h\u00e1bil caso voc\u00ea tenha apenas algumas poucas extens\u00f5es a se investigar. A maioria das organiza\u00e7\u00f5es, no entanto tem 20x mais extens\u00f5es. Ent\u00e3o decidimos usar o Torq para criar fluxos de trabalho para automatizar a avalia\u00e7\u00e3o de risco da extens\u00e3o.<\/p>\n<p>Como fizemos:<\/p>\n<ol>\n<li><strong>Foco apenas nas permiss\u00f5es de risco<\/strong>. Extens\u00f5es tem dezenas de tipos de permiss\u00f5es. Usamos a integra\u00e7\u00e3o de Gen IA do Torq para atribuir um valor de risco (de 1 \u00e0 5) para cada permiss\u00e3o, considerando suas capacidades. Focando nas permiss\u00f5es mais comuns, reduzindo o n\u00famero de problemas a se endere\u00e7ar.<\/li>\n<li>Deixe a IA resumir a pol\u00edtica de privacidade com um prompt focado em informa\u00e7\u00e3o pessoal, processadores de dados adicionais e o que \u00e9 essencial para manter a conformidade governada.<\/li>\n<li>Use Whois para ter a idade do dom\u00ednio e o status de atividade.<\/li>\n<li>Extraia o CVE da extens\u00e3o e use o poder da automa\u00e7\u00e3o para enriquecer e anexar as m\u00e9tricas de CISA KEV, EPSS e CVSS para melhorar gerenciamento de vulnerabilidade.<\/li>\n<li>Correlacione os CVEs com o seu invent\u00e1rio de vulnerabilidades de dispositivo para detectar se eles est\u00e3o vulner\u00e1veis.<\/li>\n<li>Agregar todas as informa\u00e7\u00f5es em um caso para o veredito:\n<ol>\n<li>Se o risco \u00e9 toler\u00e1vel, v\u00e1 at\u00e9 o colaborador para entender se a extens\u00e3o \u00e9 usada e necess\u00e1ria para prop\u00f3sitos de trabalho.<\/li>\n<li>Se o risco n\u00e3o \u00e9 toler\u00e1vel, v\u00e1 at\u00e9 o colaborador para informar da remo\u00e7\u00e3o da extens\u00e3o. Execute o comando de MDM para remov\u00ea-lo imediatamente.<\/li>\n<li>Exclua a extens\u00e3o de uso.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n<h1><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/torq.io\/wp-content\/uploads\/2024\/01\/blog-image-coding-1024x561.png\" alt=\"automatizando extens\u00f5es\" width=\"602\" height=\"330\" \/><\/h1>\n<h2><span class=\"ez-toc-section\" id=\"Conclusao\"><\/span>Conclus\u00e3o<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>A decis\u00e3o de remover ou manter uma extens\u00e3o pode mudar diante de diferentes circunst\u00e2ncias e com base nos dados. Entretanto, uma extens\u00e3o que viola a conformidade de privacidade e provoca diversas vulnerabilidades n\u00e3o deve ser ignorada.<\/p>\n<p>Como profissionais de seguran\u00e7a, \u00e9 nosso trabalho educar e alertar sobre extens\u00f5es e seus potenciais riscos ao mesmo tempo que oferecemos informa\u00e7\u00f5es com base em investiga\u00e7\u00e3o e an\u00e1lise. Deste ponto, as organiza\u00e7\u00f5es podem tomar decis\u00f5es informadas se elas permitir\u00e3o uma certa extens\u00e3o.<\/p>\n<p><a href=\"https:\/\/lps.aiqon.com.br\/torq-lp\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-2634 size-full\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2024\/01\/banner-CTA.png\" alt=\"automatizando extens\u00f5es\" width=\"1000\" height=\"300\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2024\/01\/banner-CTA.png 1000w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2024\/01\/banner-CTA-300x90.png 300w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2024\/01\/banner-CTA-768x230.png 768w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Extens\u00f5es de navegadores s\u00e3o uma preocupa\u00e7\u00e3o obscura da TI. Avaliar a reputa\u00e7\u00e3o e seguran\u00e7a de uma extens\u00e3o de navegador \u00e9 crucial antes de instala-la em um computador, as extens\u00f5es normalmente tem diversas permiss\u00f5es que podem ser abusadas para roubo de dados ou outras atividades maliciosas. Em uma companhia com estilo de ambiente aberto, as extens\u00f5es [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":2663,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[286],"tags":[284,285,206,283],"class_list":["post-2656","post","type-post","status-publish","format-standard","has-post-thumbnail","category-hiperautomacao","tag-automatizacao","tag-extensoes","tag-permissoes","tag-torq","czr-hentry"],"jetpack_featured_media_url":"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2024\/02\/develop-unique-google-chrome-extension.webp","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2656","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2656"}],"version-history":[{"count":3,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2656\/revisions"}],"predecessor-version":[{"id":2662,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2656\/revisions\/2662"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media\/2663"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2656"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2656"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2656"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}