研究人員又增加了一個對web瀏覽器擴展持懷疑態度的理由。根據最近發表的一份學術報告,各種Chrome,Firefox和Opera瀏覽器擴展可能會受到***者的***,這些***者可以竊取敏感瀏覽器數據並在目標系統上植入任意文件。
蔚藍海岸大學的研究人員Doliere Francis Some在一篇題爲《用瀏覽器擴展增強web應用程序的能力》的學術論文中寫道:“我們發現了大量可以被web應用程序利用的擴展,它們可以從這些應用程序的特權功能中獲益。”
Web應用程序是計算機設備在web瀏覽器中運行的服務器計算機程序,例如在線表單或基於瀏覽器的文字處理器。這是一個獨立於瀏覽器擴展的小型插件,用於使用廣告攔截器或web剪輯工具來定製web瀏覽器。
“(瀏覽器擴展)可以訪問敏感的用戶信息,包括瀏覽歷史、書籤、憑證(cookie)和已安裝的擴展名列表。只要用戶的瀏覽器中安裝了數據,他們就可以訪問永久存儲。他們可以觸發任意文件的下載並將其保存在用戶的設備上。”
這種訪問對於web應用程序來說是唯一的,web應用程序受到所謂的同源策略(SOP)的約束,該策略禁止應用程序在域之間讀寫用戶數據。然而,該研究展示了一個特殊設計的web應用程序如何通過利用特權瀏覽器擴展繞過SOP保護。
“我們的研究結果表明,瀏覽器擴展和web應用程序之間的通信對瀏覽器、web應用程序,更重要的是對用戶,構成了嚴重的安全和隱私威脅。”
根據研究人員的說法,***原理如下:“***者[使用]當前在用戶瀏覽器中運行的Web應用程序中存在的腳本。該腳本屬於Web應用程序或屬於第三方。***者的目標是與已安裝的擴展進行交互,以訪問用戶敏感信息。它依賴於擴展,其特權功能可以通過與Web應用程序中的腳本交換消息來利用。即使內容腳本,背景頁面和Web應用程序在不同的執行上下文中運行,它們也可以建立通信通道以相互交換消息.……API [用於]在內容腳本之間發送和接收(偵聽)消息,背景頁面和Web應用程序。”
Somé專注於一種名爲“webexstress API”的特定類型的web擴展,這是一種跨瀏覽器的擴展系統,兼容包括Chrome、Firefox、Opera和Microsoft Edge在內的主要瀏覽器。在分析使用特定WebExtension API的78315個擴展之後,它發現3996個可疑的擴展。(見下表)
雖然看起來很多,但Somé指出,研究發現存在少量易受***的擴展,應該重視考量這種擔憂。但是,“瀏覽器供應商需要更嚴格地審查擴展,特別是考慮在擴展中使用消息傳遞接口。”