論文の概要: A Study on Malicious Browser Extensions in 2025
- arxiv url: http://arxiv.org/abs/2503.04292v1
- Date: Thu, 06 Mar 2025 10:24:27 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-03-07 15:57:13.085973
- Title: A Study on Malicious Browser Extensions in 2025
- Title(参考訳): 2025年における悪質なブラウザ拡張に関する研究
- Authors: Shreya Singh, Gaurav Varshney, Tarun Kumar Singh, Vidhi Mishra,
- Abstract要約: 本稿は,Mozilla Firefox と Chrome を中心に,悪意あるブラウザエクステンションの2025 年の進化する脅威状況について考察する。
私たちの研究はFirefoxとChromeのセキュリティメカニズムを回避し、悪意のあるエクステンションをMozilla Add-ons StoreとChrome Web Store内で開発、公開、実行することが可能であることを実証しました。
- 参考スコア(独自算出の注目度): 0.3749861135832073
- License:
- Abstract: Browser extensions are additional tools developed by third parties that integrate with web browsers to extend their functionality beyond standard capabilities. However, the browser extension platform is increasingly being exploited by hackers to launch sophisticated cyber threats. These threats encompass a wide range of malicious activities, including but not limited to phishing, spying, Distributed Denial of Service (DDoS) attacks, email spamming, affiliate fraud, malvertising, and payment fraud. This paper examines the evolving threat landscape of malicious browser extensions in 2025, focusing on Mozilla Firefox and Chrome. Our research successfully bypassed security mechanisms of Firefox and Chrome, demonstrating that malicious extensions can still be developed, published, and executed within the Mozilla Add-ons Store and Chrome Web Store. These findings highlight the persisting weaknesses in browser's vetting process and security framework. It provides insights into the risks associated with browser extensions, helping users understand these threats while aiding the industry in developing controls and countermeasures to defend against such attacks. All experiments discussed in this paper were conducted in a controlled laboratory environment by the researchers, adhering to proper ethical guidelines. The sole purpose of these experiments is to raise security awareness among the industry, research community, and the general public.
- Abstract(参考訳): ブラウザ拡張(Browser extension)は、Webブラウザと統合して、標準機能を超えて機能を拡張しているサードパーティが開発した追加ツールである。
しかし、このブラウザ拡張プラットフォームは、ハッカーが高度なサイバー脅威を起動するために、ますます悪用されている。
これらの脅威には、フィッシング、スパイ、Distributed Denial of Service(DDoS)攻撃、電子メールスパム、アフィリエイト詐欺、不正広告、支払い詐欺など、幅広い悪意ある活動が含まれる。
本稿は,Mozilla Firefox と Chrome を中心に,悪意あるブラウザエクステンションの2025 年の進化する脅威状況について考察する。
私たちの研究はFirefoxとChromeのセキュリティメカニズムを回避し、悪意のあるエクステンションをMozilla Add-ons StoreとChrome Web Store内で開発、公開、実行することが可能であることを実証しました。
これらの調査結果は、ブラウザのベッティングプロセスとセキュリティフレームワークの継続的な弱点を浮き彫りにしている。
ブラウザエクステンションに関連するリスクに関する洞察を提供し、これらの脅威を理解しながら、そのような攻撃を防御するためのコントロールと対策を開発する業界を支援する。
本論文で論じるすべての実験は、適切な倫理的ガイドラインに従って、研究者による制御された実験室環境で実施された。
これらの実験の唯一の目的は、業界、研究コミュニティ、一般大衆の間でのセキュリティ意識を高めることである。
関連論文リスト
- Protect Your Secrets: Understanding and Measuring Data Exposure in VSCode Extensions [14.381954681512644]
Visual Studio Code(VSCode)におけるクロスエクステンションインタラクションのセキュリティ問題について検討する。
我々の研究は、敵が秘密裏にクレデンシャル関連のデータを入手したり、操作したりできるような、インパクトの高いセキュリティ上の欠陥を発見しました。
当社のツールを現実世界のVSCodeエクステンション27,261に適用することにより、その8.5%がクレデンシャル関連のデータ漏洩にさらされていることが分かりました。
論文 参考訳(メタデータ) (2024-12-01T07:08:53Z) - Preventing Jailbreak Prompts as Malicious Tools for Cybercriminals: A Cyber Defense Perspective [1.083674643223243]
ジェイルブレイクのプロンプトは、大規模な言語モデルにおける倫理的保護を回避しようとしているため、AIとサイバーセキュリティに重大な脅威をもたらす。
本稿では、サイバー防衛の観点からジェイルブレイクプロンプトを分析し、プロンプトインジェクションやコンテキスト操作のような手法を探索する。
我々は,AIのレジリエンスを強化するために,高度なプロンプト解析,動的安全プロトコル,連続モデル微調整を含む戦略を提案する。
論文 参考訳(メタデータ) (2024-11-25T18:23:58Z) - Attacking Vision-Language Computer Agents via Pop-ups [61.744008541021124]
VLMエージェントは、慎重に設計された対向的なポップアップによって容易に攻撃できることを示す。
この混乱は、エージェントが通常のタスクを実行する代わりにポップアップをクリックさせる。
論文 参考訳(メタデータ) (2024-11-04T18:56:42Z) - Did I Vet You Before? Assessing the Chrome Web Store Vetting Process through Browser Extension Similarity [3.7980955101286322]
このタイプのソフトウェアで最大の配布プラットフォームであるChrome Web Store (CWS) におけるマルウェアやその他の侵害拡張の頻度を特徴付ける。
本研究は,侵害拡大の86%が前回の拒否項目と極めて類似しているため,CWS拒否プロセスにおいて大きなギャップがあることを明らかにする。
また,CWSがフラグ付けしたマルウェアの1%がマルウェア対策として悪用されていることも明らかにした。
論文 参考訳(メタデータ) (2024-06-01T09:17:01Z) - FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。
動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。
1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
論文 参考訳(メタデータ) (2024-05-21T19:54:19Z) - Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。
最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
論文 参考訳(メタデータ) (2024-05-21T13:34:23Z) - SENet: Visual Detection of Online Social Engineering Attack Campaigns [3.858859576352153]
ソーシャルエンジニアリング(SE)は、ユーザのセキュリティとプライバシを侵害する可能性のあるアクションの実行をユーザを欺くことを目的としている。
SEShieldは、ブラウザ内でソーシャルエンジニアリング攻撃を検出するためのフレームワークである。
論文 参考訳(メタデータ) (2024-01-10T22:25:44Z) - Exposing and Addressing Security Vulnerabilities in Browser Text Input
Fields [22.717150034358948]
ウェブブラウザにおけるテキスト入力フィールドのセキュリティに関する総合的な分析を行う。
ブラウザの粗粒度パーミッションモデルが2つのセキュリティ設計原則に違反していることが分かりました。
入力フィールドに2つの脆弱性を発見した。
論文 参考訳(メタデータ) (2023-08-30T21:02:48Z) - Graph Mining for Cybersecurity: A Survey [61.505995908021525]
マルウェア、スパム、侵入などのサイバー攻撃の爆発的な増加は、社会に深刻な影響をもたらした。
従来の機械学習(ML)ベースの手法は、サイバー脅威の検出に広く用いられているが、現実のサイバーエンティティ間の相関をモデル化することはほとんどない。
グラフマイニング技術の普及に伴い、サイバーエンティティ間の相関を捉え、高いパフォーマンスを達成するために、多くの研究者がこれらの手法を調査した。
論文 参考訳(メタデータ) (2023-04-02T08:43:03Z) - Adversarial Machine Learning Attacks and Defense Methods in the Cyber
Security Domain [58.30296637276011]
本稿では,機械学習技術に基づくセキュリティソリューションに対する敵攻撃に関する最新の研究を要約する。
サイバーセキュリティドメインでエンドツーエンドの敵攻撃を実装するという、ユニークな課題を議論するのは、これが初めてである。
論文 参考訳(メタデータ) (2020-07-05T18:22:40Z) - Phishing and Spear Phishing: examples in Cyber Espionage and techniques
to protect against them [91.3755431537592]
フィッシング攻撃は、2012年以降、サイバー攻撃の91%以上を突破し、オンライン詐欺で最も使われているテクニックとなっている。
本研究は, フィッシングとスピア・フィッシングによる攻撃が, 結果を大きくする5つのステップを通じて, フィッシングとスピア・フィッシングによる攻撃の実施方法についてレビューした。
論文 参考訳(メタデータ) (2020-05-31T18:10:09Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。