最近一項針對12萬個Chrome擴展的調查顯示,超過三分之一的谷歌Chrome擴展要求用戶允許訪問和閱讀他們在任何網站上的所有數據。同一項調查還發現,Chrome網上商店列出的12萬個Chrome擴展中,大約85%沒有列出隱私政策,這意味着沒有具有法律約束力的文件來描述擴展開發者承諾如何處理用戶數據。
其他的調查結果還包括,77%的測試Chrome擴展沒有列出支持站點,32%的擴展使用了包含公開漏洞的第三方JavaScript庫,9%的擴展可以訪問和讀取cookie文件,其中一些用於身份驗證操作。
這項數據量龐大的調查是由美國網絡安全公司Duo 實驗室的研究團隊在上個月進行的,他們開發了一項名爲CRXcavator的新web服務。研究人員掃描了整個Chrome網絡商店,分析了120,463個Chrome擴展和應用程序的源代碼和網絡商店列表。
他們查看了用戶請求的權限擴展、擴展與哪些外部域通信;擴展是否使用了易受***的庫;它們是否訪問了OAuth2數據;是否檢查了內容安全策略(CSP)頭以及擴展是否列出了關於其隱私策略或作者的任何信息。
這項研究的結果可以在CRXcavator網站上找到,用戶可以在該網站上查看關於他們最感興趣的擴展的安全報告,或者提交一個擴展ID,如果Duo的研究人員在他們的web Store分析中遺漏了該擴展,他們可以掃描該擴展ID。
但是Duo實驗室並沒有毫無目的地掃描所有Chrome擴展。該公司21日還發布了CRXcavator Gatherer Chrome擴展程序。此擴展程序是爲企業使用而開發的。系統管理員可以在公司員工的pc端上安裝擴展名,擴展名將收集關於員工在各自系統上安裝了哪些擴展程序的信息,然後將這些數據發送到系統管理員在CRXcavator門戶上預先創建的CRXcavator帳戶。
系統管理員可以查看用戶在其系統上安裝的每個擴展的CRXcavator風險評分,同時允許或禁止其網絡內的分機使用網絡範圍的策略。Duo實驗室的研究人員在一份新聞稿中說:“這可以讓企業確切地知道正在使用哪些擴展,誰在使用它們,以及用戶的擴展給企業帶來了多大的風險。”
但CRXcavator採集器擴展也可以作爲員工在安裝新Chrome擴展之前請求權限的一種方式。所有員工只需按下按鈕,輸入他們需要安裝新擴展的原因。
系統管理員在他們的CRXcavator帳戶儀表板中收到安裝請求,可以檢查擴展的CRXcavator風險評分,並允許在他們的網絡中安裝。對現代企業來說,引導和控制員工使用各種擴展是一個日益增長的因素。Chrome的市場份額超過60%,是犯罪團伙經常利用的一個巨大的***面。
衆所周知,犯罪集團會從對維護擴展失去興趣的開發人員那裏購買擴展程序,併發起魚叉式網絡釣魚***,希望劫持擴展開發人員的帳戶,從而推送惡意代碼。無論程序大小,現在公司都需要關注Chrome的擴展,因爲它總是有被用於商業間諜或欺詐的危險。