Czy używanie zakładek w przeglądarce internetowej może ułatwić hakerom atak?

Atak na zakładki przeglądarki może być prosty do przeprowadzenia, a jego skutki mogą prowadzić do poważnych wycieków danych, oszustw bankowych i naruszenia bezpieczeństwa firmowych systemów. Poniżej opisujemy, jakie zagrożenie niesie za sobą korzystanie z zakładek, jak wygląda przykładowy atak oraz jak się chronić.

UWAGA! Informacje zawarte w tym artykule mają charakter wyłącznie edukacyjny i służą podniesieniu świadomości na temat zagrożeń związanych z bezpieczeństwem zakładek w przeglądarkach internetowych. Scenariusz ataku został przedstawiony w celach dydaktycznych, aby pomóc użytkownikom oraz specjalistom ds. cyberbezpieczeństwa lepiej zrozumieć potencjalne ryzyko i skutecznie się przed nim bronić.

Nie zachęcamy do wykorzystywania tych informacji w sposób niezgodny z prawem. Każda próba nieautoryzowanego dostępu do cudzych danych może stanowić przestępstwo i podlegać odpowiedzialności karnej zgodnie z obowiązującymi przepisami prawa.

Jeśli chcesz poprawić bezpieczeństwo swojej organizacji, zalecamy stosowanie zgodnych z prawem środków ochrony, takich jak testy penetracyjne przeprowadzane przez uprawnionych specjalistów oraz wdrażanie odpowiednich polityk bezpieczeństwa.

Krótki wstęp

Współczesne przeglądarki internetowe przechowują zakładki użytkowników w plikach lub bazach danych w katalogu profilu użytkownika na komputerze. Niestety w przeciwieństwie do haseł pliki zakładek nie są szyfrowane – są przechowywane w postaci zwykłego tekstu lub prostych formatów baz danych, co czyni je podatnymi na dostęp przez złośliwe oprogramowanie lub nieautoryzowane aplikacje.

Zakładki przechowywane w niezaszyfrowanej formie – duże ryzyko bezpieczeństwa

Przechowywanie zakładek w niezaszyfrowanej formie jest decyzją projektową mającą na celu wygodę użytkownika, zwłaszcza podczas przechodzenia między przeglądarkami. Jednakże wygoda ta wiąże się z ryzykiem: każde oprogramowanie lub malware działające na koncie użytkownika może potencjalnie uzyskać dostęp do tych plików i odczytać zawartość zakładek bez potrzeby specjalnych uprawnień czy kluczy deszyfrujących. Przeglądarki często szyfrują wrażliwe dane, takie jak zapisane hasła czy pliki cookie, ale zakładki nie są traktowane z taką samą ostrożnością.

Brak szyfrowania zakładek niesie za sobą poważne ryzyko bezpieczeństwa. Złośliwe oprogramowanie może łatwo odczytać pliki zakładek, uzyskując dostęp do informacji o odwiedzanych stronach, co może prowadzić do ataków phishingowych lub innych form inwigilacji. Na przykład grupy APT (Advanced Persistent Threats) takie jak Lazarus Group czy Chimera, są znane z wykorzystywania informacji z zakładek do zbierania danych wywiadowczych o ofiarach, uzyskiwania osobistych informacji użytkowników oraz identyfikowania wewnętrznych zasobów sieciowych.

Ponadto niezaszyfrowane zakładki mogą stanowić zagrożenie dla prywatności i zgodności z regulacjami prawnymi, takimi jak RODO czy CCPA. Instytucje muszą być świadome ryzyka przechowywania zakładek zawierających dane osobowe bez odpowiedniego szyfrowania, co może prowadzić do naruszeń danych i konsekwencji prawnych. Dlatego zarówno indywidualni użytkownicy, jak i organizacje, powinni rozważyć korzystanie z bezpiecznych alternatyw, takich jak menedżery zakładek oparte na chmurze z pełnym szyfrowaniem end-to-end, aby chronić dane osobowe i zapewnić zgodność z przepisami o ochronie prywatności.

Techniczne aspekty zagrożeń związanych z przechowywaniem zakładek w przeglądarkach

1. Formaty przechowywania zakładek

Zakładki w przeglądarkach są przechowywane w różnych formatach plików i baz danych, co wpływa na poziom bezpieczeństwa:

• Google Chrome i Microsoft Edge – używają pliku Bookmarks w formacie JSON, który znajduje się w katalogu profilu użytkownika (%LOCALAPPDATA%\Google\Chrome\User Data\Default\ na Windows lub ~/Library/Application Support/Google/Chrome/Default/ na macOS).
• Mozilla Firefox – przechowuje zakładki w bazie danych SQLite (places.sqlite), co daje pewne możliwości ochrony, ale sam plik nie jest szyfrowany.
• Apple Safari – używa pliku Bookmarks.plist, który również jest przechowywany w katalogu użytkownika i dostępny dla dowolnego procesu z odpowiednimi uprawnieniami.

Brak szyfrowania oznacza, iż każdy użytkownik mający dostęp do katalogu profilu może odczytać zawartość zakładek, co ułatwia ataki typu data exfiltration (kradzież danych).

2. Ataki na pliki zakładek

Ze względu na brak zabezpieczeń plików zakładek są one podatne na kilka rodzajów ataków:

• Złośliwe oprogramowanie i spyware – malware działający na koncie użytkownika może przeszukiwać katalog profilu przeglądarki i kopiować pliki zakładek. Ataki mogą być przeprowadzane przez:
  • Trojan spyware, który skanuje system w poszukiwaniu plików JSON, SQLite lub plist.
  • Ataki Fileless – wykorzystujące PowerShell lub inne narzędzia do bezpośredniego odczytu zawartości plików zakładek.
• Ataki MITM (Man-In-The-Middle) i manipulacja zakładkami – jeżeli atakujący uzyska dostęp do pliku zakładek, może go edytować i dodać linki prowadzące do złośliwych stron (np. phishingowych). Brak mechanizmu integralności plików zakładek oznacza, iż użytkownik nie otrzyma żadnego ostrzeżenia przed otwarciem zmodyfikowanej zakładki.

3. Analiza odkrywcza „forensic” zakładek

Ponieważ zakładki są przechowywane w otwartym formacie, mogą być łatwo analizowane w przypadku śledztw cyberbezpieczeństwa. Eksperci ds. analizy kryminalistycznej mogą uzyskać szczegółowe informacje o nawykach przeglądania użytkownika, co ma znaczenie w dochodzeniach związanych z oszustwami, cyberprzestępczością lub incydentami bezpieczeństwa.

• Narzędzia takie jak sqlitebrowser pozwalają na manualne przeglądanie bazy danych zakładek w Firefox.
• Skrypty w Pythonie mogą parsować pliki JSON i plist, aby zautomatyzować analizę zakładek w Chrome i Safari.

Przykład ataku na pliki zakładek przeglądarki

Aby zobrazować, jak wygląda taki atak, posłużymy się przykładem, w którym pokażemy, jak wykraść zakładki i dokonać manipulacji przez malware oraz przechwycić dane logowania użytkownika.

Scenariusz zakłada, iż firma X zatrudnia pracownika działu finansowego, który regularnie odwiedza strony bankowe (np. bank XYZ) i korzysta z wewnętrznych systemów księgowych. Hakerzy, chcąc przejąć dostęp do jego konta, stosują złośliwe oprogramowanie do kradzieży zakładek.

Etap 1 – Dostarczenie malware

Atakujący wykorzystują phishing, wysyłając e-mail do pracownika firmy X. Wiadomość zawiera załącznik z makrem w dokumencie Worda lub plik wykonywalny udający fakturę (faktura.pdf.exe). Po otwarciu pliku makro uruchamia skrypt PowerShell, który pobiera malware z serwera atakującego.

Etap 2 – Odczyt plików zakładek

Zainstalowany malware skanuje system w poszukiwaniu plików zakładek przeglądarki, korzystając z następujących technik:

• Google Chrome / Edge
  Odczyt pliku JSON wykonywany przez skrypt w PowerShell:

$bookmarksPath = "$env:LOCALAPPDATA\Google\Chrome\User Data\Default\Bookmarks" $bookmarksContent = Get-Content -Path $bookmarksPath Write-Output $bookmarksContent | Out-File "C:\Temp\zakladki.txt"

• Mozilla Firefox
  Eksport bazy SQLite zakładek poprzez skrypt w Poweshell:

$firefoxProfilePath = "$env:APPDATA\Mozilla\Firefox\Profiles\*.default-release\places.sqlite" Copy-Item $firefoxProfilePath "C:\Temp\zakladki.sqlite"

Etap 3 – Przetwarzanie i analiza zakładek

Atakujący przesyłają plik na swój serwer i uruchamiają skrypt w Pythonie do analizy zawartości:

import json with open("zakladki.json", "r", encoding="utf-8") as file: data = json.load(file) for item in data["roots"]["bookmark_bar"]["children"]: if "url" in item: print(f"Zakładka: {item['name']} -> {item['url']}")

W ten sposób atakujący zdobywają listę stron, które odwiedza ofiara, w tym portale bankowe, panele administracyjne firmowe czy systemy CRM.

Etap 4 – Manipulacja zakładkami

Atakujący modyfikują plik Bookmarks, dodając złośliwe linki:

{ "name": "Logowanie do banku XYZ", "type": "url", "url": "http://xyz-login.com" }

Złośliwa strona przypomina prawdziwy panel bankowy, a użytkownik nieświadomie podaje swoje dane logowania.

Etap 5 – Eksfiltracja i dostęp do konta

Atakujący, mając dostęp do zapisanych zakładek:

• tworzą profile ofiar, np. które banki odwiedzają, jakie strony korporacyjne otwierają,
• podszywają się pod użytkownika i próbują uzyskać dostęp do firmowych systemów,
• wykorzystują skradzione zakładki do ataków spear-phishingowych, np. podszywając się pod wewnętrznych pracowników firmy.

Jak się chronić?

W celu zwiększenia bezpieczeństwa zakładek, użytkownicy i organizacje mogą zastosować kilka strategii:

1. Monitorowanie dostępu do plików przeglądarki – można użyć Windows Defender Exploit Guard do wykrywania podejrzanego dostępu do Bookmarks lub places.sqlite.
2. Blokowanie wykonywania skryptów PowerShell przez GPO (Group Policy Object) w środowiskach korporacyjnych.
3. Regularne czyszczenie zakładek i unikanie zapisywania wrażliwych stron, np. paneli logowania do banków.
4. Szyfrowanie katalogu profilu przeglądarki – można to osiągnąć poprzez:
   • Włączenie pełnego szyfrowania dysku (BitLocker, FileVault, LUKS).
   • Ręczne szyfrowanie plików zakładek narzędziami takimi jak VeraCrypt.
5. Przechowywanie zakładek w menedżerach haseł – niektóre menedżery haseł, takie jak Bitwarden czy WebCull, oferują możliwość przechowywania zakładek w zaszyfrowanej formie.
6. Używanie chmurowych menedżerów zakładek z szyfrowaniem end-to-end – serwisy takie jak WebCull czy Raindrop.io oferują większe bezpieczeństwo niż natywne zakładki w przeglądarkach.
7. Zastosowanie kontroli dostępu – w środowiskach korporacyjnych można wymusić polityki ograniczające dostęp aplikacji do katalogu profilu użytkownika, np. poprzez Windows Defender Application Control (WDAC) lub SELinux.

Podsumowanie

Zakładki przeglądarki, choć wydają się niewinną funkcjonalnością, mogą stanowić poważne zagrożenie bezpieczeństwa. Brak szyfrowania i mechanizmów ochrony sprawiają, iż są podatne na kradzież, manipulację oraz analizy śledcze.. Organizacje i użytkownicy powinni świadomie zarządzać zakładkami, stosując szyfrowanie, ograniczając dostęp do katalogów profilu oraz rozważając alternatywne rozwiązania oparte na chmurze z silnym szyfrowaniem.