Paljud tänapäevased brauserid võimaldavad funktsionaalsuse lisamist või
muutmist laienduste kaudu. Rohkete võimaluste tõttu on laiendused muutunud
kasutajate hulgas populaarseks ja see on toonud kaasa uued ründevektorid,
mis ohustavad kasutajate turvalisust. Töös analüüsime populaarsemate
veebibrauserite laienduste turvaarhitektuuri. Vaatleme Firefox 3.6, Google
Chrome 5.0.360 ja Internet Explorer 8 laienduste ehitust ja nende turvalisust.
Töö annab ülevaate vastavate brauserite laienduste arhitektuurilisest
turvalisusest ja kirjeldab võimalikke ründevektoreid. Selgitame, kuidas on
vastavate veebibrauserite koodiruum ja mälu kaitstud ja teeme kindlaks missuguseid
õiguseid brauserite laiendused omavad. Uurime, kuidas on praegust
laienduste arhitektuuri kasutades võimalik brausereid kompromiteerida
ja kirjeldame sellega kaasnevaid riske. Selleks demonstreerime laiendusi, mis
kompromiteerivad brauseri, näitamaks olemasoleva arhitektuuri puudujääke.
Näitame erinevaid ründevektoreid ja kirjeldame nendele vastavaid ründestsenaariumeid.
Töö tulemusena selguvad brauserite laienduste turvaarhitektuuri
nõrkused. Nende leevendamiseks pakume välja lahendusi, mis parandavad
turvaarhitektuuri. Töö tulemusena on võimalik brauserite kasutajaid
informeerida olemasolevatest ohtudest ja teadvustada turvalisuse olulisusest.In this work, we analyse the security models of browser extensions. We
view the extension models of Mozilla Firefox 3.6, Internet Explorer 8 and
Google Chrome 5.0.360. Because browsers are providing functionalities similar
to operating systems, we analyse these extension models as we would
analyse an operating system. We show that the current security models can
be abused with little effort. A browser with a compromised extension may
result in the whole computer being compromised. To support our claims, we
tested most of the attacks that are described in this analysis. The source code
of these attacks is not included in the thesis. Thus, due to previously mentioned
risks, we want to stress the importance of the threat that extensions
pose to the security of browsers. The feasibility of creating malware extensions is analysed
for each browser individually. Based on the analysis we propose possible
attack vectors for each browser. Finally, we suggest ways to improve the
current security models and give advice to the users