[논문 리뷰] Manifest V3 Unveiled: Navigating the New Era of Browser Extensions
이 논문은 2020년 발표 이후 Chrome의 매니페스트 V3(V3) 확장 프레임워크의 도입 여부, 보안 향상 수준, 잔류 위험 요소를 평가한다. 악성 V2 확장 프로그램 517개를 V3로 변환하고 동적 테스트를 수행한 결과, 악성 API의 87.8%가 제거되었지만, 56%는 웹 액세스 가능한 리소스를 통해 여전히 악성 기능을 유지함을 확인하여, 개인정보 보호 및 성능 향상이 이루어졌음에도 불구하고 지속적인 보안 과제가 존재함을 시사한다.
Introduced over a decade ago, Chrome extensions now exceed 200,000 in number. In 2020, Google announced a shift in extension development with Manifest Version 3 (V3), aiming to replace the previous Version 2 (V2) by January 2023. This deadline was later extended to January 2025. The company's decision is grounded in enhancing three main pillars: privacy, security, and performance. This paper presents a comprehensive analysis of the Manifest V3 ecosystem. We start by investigating the adoption rate of V3, detailing the percentage of adoption from its announcement up until 2024. Our findings indicate, prior to the 2023 pause, less than 5% of all extensions had transitioned to V3, despite the looming deadline for the complete removal of V2, while currently nine out of ten new extensions are being uploaded in Manifest V3. Furthermore, we compare the security and privacy enhancements between V2 and V3 and we evaluate the improved security attributable to V3's safer APIs, examining how certain APIs, which were vulnerable or facilitated malicious behavior, have been deprecated or removed in V3. We dynamically execute 517 confirmed malicious extensions and we see a 87.8% removal of APIs related to malicious behavior due to the improvements of V3. We discover that only 154 (29.8%) of these extensions remain functional post-conversion. This analysis leads to the conclusion that V3 reduces the avenues for abuse of such APIs. However, despite the reduction in APIs associated with malicious activities, the new Manifest V3 protocol is not immune to such behavior. Our research demonstrates, through a proof of concept, the adaptability of malicious activities to V3. After the proof of concept changes are applied, we showcase 290 (56%) of the examined malicious extensions retain their capability to conduct harmful activities within the V3 framework.
연구 동기 및 목표
- 2020년 발표 이후 Chrome 확장 프로그램에서 매니페스트 V3의 실제 도입률을 평가하기 위해.
- V2 대비 V3에서 도입된 보안 및 개인정보 보호 향상 조치의 효과를 평가하여, 특히 악성 API 사용을 억제하는 데 초점을 맞추기 위해.
- 악성 확장 프로그램이 V3 아키텍처에 적응할 수 있는지, 특히 제3자 자바스크립트 삽입과 같은 대체 공격 벡터를 통해 어떻게 작동할 수 있는지 조사하기 위해.
- 커뮤니티 피드백이 V3 전환 과정에 미친 영향을 분석하고, 이전에 제기된 개발자 우려 사항 중 해결되지 않은 문제를 특정하기 위해.
제안 방법
- 악성으로 확인된 V2 확장 프로그램 517개의 데이터셋을 수집하고, 자동화된 및 수동 기법을 활용해 V3로 변환하였다.
- 제어된 샌드박스 환경에서 원본 V2 및 변환된 V3 확장 프로그램을 동적으로 실행하여 런타임 동작을 관찰하였다.
- V2와 V3 버전 간에 고위험 또는 악성으로 악용 가능한 API(예: webRequest, unsafe-eval)의 제거 여부를 추적하고 측정하였다.
- 악성 확장 프로그램이 V3에서 탐지되는 것을 피하기 위해 사용하는 악성 기법(예: 사용자 행동 또는 환경 기반 조건부 활성화)을 식별하고 역공학적으로 분석하였다.
- V3에서 새로운 공격 표면이 되는 웹 액세스 가능한 리소스(WAS)의 역할을 평가하였으며, 외부 도메인에서 악성 자바스크립트를 로드할 수 있도록 허용함을 확인하였다.
- 장기적 추세 분석을 수행하여, 2023년 전후의 확장 프로그램 업로드 패턴을 비교함으로써 V3 도입률을 평가하였다.
실험 결과
연구 질문
- RQ1Chrome 확장 프로그램에서 매니페스트 V3의 현재 도입 비율은 얼마이며, 2020년 발표 이후 어떻게 변화해 왔는가?
- RQ2V3에서 도입된 보안 및 개인정보 보호 향상 조치가 V2 대비 악성 확장 프로그램의 공격 표면을 얼마나 줄였는가?
- RQ3악성 확장 프로그램은 매니페스트 V3 환경에서 여전히 기능을 유지할 수 있는가? 만약 그렇다면, 어떤 새로운 또는 대체 메커니즘을 통해 이를 달성하는가?
- RQ4커뮤니티 피드백은 매니페스트 V3의 진화 과정에 어떤 역할을 하는가? 그리고 초기 개발자 우려 사항 중 아직 해결되지 않은 사항은 무엇인가?
주요 결과
- 2023년 마감 연장 이전에는 Chrome 확장 프로그램의 5% 미만이 매니페스트 V3로 이관되었지만, 2024년에는 새로 업로드된 확장 프로그램의 90%가 V3로 제출되었다.
- 매니페스트 V3는 악성 행동과 관련된 API의 87.8%를 폐기하거나 제거하여 일반적인 공격에 대한 공격 표면을 크게 줄였다.
- 이러한 개선에도 불구하고, 분석된 517개의 악성 확장 프로그램 중 154개(29.8%)는 V3로 변환된 후에도 여전히 완전히 기능을 유지하였다.
- PoC(증명용 프로토타입)를 통해 290개(56%)의 악성 확장 프로그램이 외부 도메인에서 로드된 제3자 자바스크립트 코드를 웹 액세스 가능한 리소스를 통해 삽입함으로써 V3 환경에서도 여전히 악성 기능을 유지함을 입증하였다.
- IP 기반 비활성화, 쿼리 기반 트리거, 개발자 도구 감지 등의 악성 기법이 관찰되어 악성 행위자가 적응적으로 행동하고 있음을 시사하였다.
- 본 연구는 웹 액세스 가능한 리소스를 V3에서 중요한 새로운 공격 벡터로 규명하였으며, 외부 코드 로딩을 통해 V3의 보안 강화 조치를 우회할 수 있음을 확인하였다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.