Meer dan een derde van alle Google Chrome-extensies gebruikers vragen om toestemming voor toegang en lees al hun gegevens op de website, een recente enquête van meer dan 120.000 Chrome-extensies heeft geopenbaard.
Hetzelfde onderzoek bleek ook dat ongeveer 85 procent van de 120.000 Chrome-extensies zijn vermeld in de Chrome Web Store geen privacy beleid, wat betekent dat er geen juridisch bindend document waarin wordt beschreven hoe extensie-ontwikkelaars zich te verbinden aan een omgang met gegevens van de gebruiker.
Extra onderzoek bevindingen zijn van het feit dat 77 procent van de geteste Chrome-extensies niet de lijst en een ondersteunende site, 32 procent gebruikt derden JavaScript bibliotheken die publiekelijk bekende kwetsbaarheden, en negen procent van de toegang en de cookie-bestanden lezen, sommige van die zijn gebruikt voor de verificatie-activiteiten.
Dit gigantische enquête werd uitgevoerd in de laatste maand door het onderzoeksteam van de AMERIKAANSE cyber-security bedrijf Duo Labs met de hulp van een nieuwe web service die ze ontwikkeld en heten CRXcavator.
Onderzoekers gescande het geheel van de Chrome Web Store en geanalyseerd van de broncode en de Web Store aanbiedingen van 120,463 Chrome-extensies en apps.
Ze keek wat machtigingen extensies aangevraagd bij de gebruikers, met wat externe domeinen de extensions worden gecommuniceerd, als de extensies gebruikt kwetsbare bibliotheken, als ze benaderd OAuth2 gegevens gecontroleerd Content Security Policy (CSP) koppen, en als de extensie alle informatie over het privacy beleid of de auteur.
De resultaten van deze studie worden gemaakt die vandaag beschikbaar zijn op de CRXcavator web portal, waar gebruikers kunnen controleren beveiliging van berichten over hun favoriete extension of het indienen van een extensie-ID en het gescande als Duo onderzoekers hebben gemist tijdens hun Web Winkel-analyse.
Maar Duo Labs niet het scannen van alle Chrome-extensies voor geen enkel doel. Het bedrijf is ook vandaag de CRXcavator Verzamelaars Chrome-extensie.
Deze extensie is ontwikkeld voor zakelijk gebruik. Systeembeheerders kunnen installeren van de uitbreiding op de Pc van de medewerker van het bedrijf, en de uitbreiding zal het verzamelen van informatie over wat extensins medewerkers hadden elk geïnstalleerd op hun systemen, en vervolgens verzendt deze gegevens naar een CRXcavator account dat systeembeheerders gemaakt van tevoren op de CRXcavator portal.
Systeembeheerders kunnen de CRXcavator risico score van elke extensies gebruikers hebben geïnstalleerd op hun systemen, en het wel of niet toestaan van de uitbreiding binnen hun netwerken met netwerk-breed beleid.
“Dit laat organisaties toe om precies te weten welke extensies worden gebruikt, die met het gebruik ervan en hoe groot het risico is gebracht aan de organisatie door hun gebruikers’ extensies ‘ Duo-Labs onderzoekers zei in een persbericht vandaag.
Maar de CRXcavator Verzamelaars extensie kan ook gebruikt worden als een manier voor werknemers om toestemming te vragen voor het installeren van een nieuwe Chrome-extensie. Alle medewerkers hebben te doen is op een knop en geef een reden waarom ze nodig hebben om te installeer de nieuwe uitbreiding.
Sysadmins dit verzoek krijgt voor installatie in hun CRXcavator account-dashboard, kan de uitbreiding van de CRXcavator risico score, en toestaan dat de installatie binnen hun netwerk.
De behoefte om te controleren wat extensies werknemers gebruik maken van een groeiende factor voor moderne ondernemingen. Met een marktaandeel van meer dan 60 procent, Chrome is een enorme aanval oppervlak dat criminele groepen hebben de neiging te exploiteren.
Criminele groepen zijn bekend om te kopen van uitbreidingen van ontwikkelaars die interesse verloren in het onderhoud, en de lancering van spear-phishing aanvallen in de hoop van het kapen van een uitbreiding van de developer-account, zodat ze kunnen duwen en kwaadaardige code.
Van kleine tot grote bedrijven nodig hebben om een oogje te houden op het Chrome-extensies tegenwoordig, want er is altijd het gevaar van een wordt gebruikt voor industriële spionage of fraude.
Afbeelding: Duo-Labs
Meer browser dekking:
Google gaat op Chrome wijzigingen die zou hebben verminkt, ad blockers
Google Chrome 73 officieel ondersteuning van de multimedia-toetsen op uw toetsenbord
Microsoft Rand laat Facebook Flash code achter de gebruikers backsGoogle met een auto-update-naar-HTTPS experiment in ChromeWindows 10 Tijdlijn Chrome-extensie is net geland vanuit MicrosoftGoogle werken aan nieuwe Chrome security functie te ‘vernietigen DOM XSS Wat ondernemingen moet weten over het nieuwe Chroom-gebaseerd Rand TechRepublicAd-blocking Dappere krijgt geheugen voordeel ten opzichte van Chrome op nieuws websites CNET
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters