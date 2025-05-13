Di masa lalu, sebagian besar serangan "man-in-the-browser" dieksekusi dengan pemindaian memori browser oleh malware untuk mengidentifikasi pola HTML tertentu dan menginjeksikan tag <script> langsung ke konten dalam memori halaman. Terlepas dari niat jahat, skrip ini masih tunduk pada mekanisme keamanan browser, seperti beroperasi dalam lingkungan sandbox, mematuhi kebijakan origin (asal) yang sama, dan terikat dengan siklus hidup halaman tempat mereka diinjeksikan.

Misalnya, skrip yang diinjeksikan tidak dapat mengakses cookie atau sumber daya dari origin lain, juga tidak dapat bertahan atau dieksekusi setelah halaman ditutup.

Sebaliknya, serangan modern menggunakan ekstensi browser berbahaya mengatasi sebagian besar keterbatasan ini. Ekstensi beroperasi secara independen dari halaman web tertentu, sehingga dapat berjalan terus-menerus di latar belakang. Ekstensi juga memiliki hak istimewa yang ditingkatkan, sehingga dapat melewati batasan origin yang sama, mengakses sumber daya di seluruh browser seperti cookie atau penyimpanan, dan tetap aktif bahkan ketika tidak ada halaman yang terbuka. Pergeseran ini telah membuat ekstensi browser menjadi alat yang ampuh bagi penyerang, memberikan tingkat persistensi dan kontrol jauh melampaui metode injeksi web tradisional.

Ekstensi juga membawa perubahan dalam konteks eksekusi JavaScript, yang memiliki kegunaan berbahaya sendiri. Injeksi web tradisional dijalankan dalam konteks yang sama dengan kode aplikasi web, termasuk alat keamanan. Setiap bukti yang tertinggal (seperti elemen skrip, permintaan jaringan, variabel js, dll.) dapat membuat malware bisa dideteksi.

Sekarang, ada dua lingkungan JavaScript yang berbeda selain konteks halaman:

Pertama, ada konteks skrip konten, yang memiliki akses ke dokumen halaman tetapi sebagian terisolasi dari lingkungan halaman utama. Selain itu, ada konteks kode latar belakang (service worker), yang tidak memiliki akses ke skrip konten dan lingkungan halaman utama.

Semua komunikasi antara konteks tersebut terjadi melalui antarmuka browser yang ditentukan yang tidak terlihat oleh halaman atau pengembangnya. Sebagian besar perilaku dan bukti ekstensi didesain terisolasi, dan deteksi sangat sulit jika tidak ada perubahan pada dokumen utama.

Selain menawarkan penghindaran yang lebih canggih, pengembangan ekstensi browser juga mudah, berkat fungsionalitas bawaan yang luas dan izin yang disediakan oleh API browser modern. Analisis berikut menunjukkan bagaimana ekstensi mempermudah pengembangan serangan kompleks.

Dengan peningkatan kontrol, persistensi, kemampuan penghindaran, dan kemudahan pengembangan yang disediakan ekstensi, pergeseran dari teknik "man-in-the-browser" tradisional ke serangan berbasis ekstensi tidak hanya dapat dimengerti, tetapi tidak dapat dihindari, dalam evolusi ancaman berbasis browser.