Mere end en tredjedel af alle Google Chrome-udvidelser bede brugere om tilladelse til at få adgang til og læse alle deres data, på enhver hjemmeside, en nylig undersøgelse af over 120.000 Chrome udvidelser har afsløret.
Samme undersøgelse fandt også, at omkring 85 procent af de 120.000 Chrome udvidelser, der er anført på Chrome webshop ikke har en politik, der er anført, hvilket betyder, at der ikke er nogen juridisk bindende dokument, der beskriver, hvordan en udvidelse udviklere er at forpligte sig til håndtering af brugerdata.
Yderligere undersøgelsesresultater omfatter det faktum, at 77 procent af de testede Chrome udvidelser ikke liste en support-webstedet, 32 procent, der anvendes tredjeparts-JavaScript-biblioteker, der er indeholdt offentligt kendte sårbarheder, og ni procent kunne få adgang til og læse cookie-filer, hvoraf nogle bruges til godkendelse af operationer.
Denne gigantiske undersøgelse blev gennemført i sidste måned af den forskergruppe fra OS cyber-sikkerhed fast Duo-Labs med hjælp af en ny web service, som de har udviklet og kaldes CRXcavator.
Forskere scannet helhed af Chrome Web Store og analyseret kildeteksten og Web Butik lister af 120,463 Chrome udvidelser og apps.
De kiggede på, hvilke tilladelser til udvidelser, der anmodes om fra brugerne, med hvilke eksterne domæner udvidelser meddeles, hvis udvidelser, der anvendes sårbare biblioteker, hvis de OAuth2 adgang til data, kontrolleret Content Security Policy (CSP) overskrifter, og hvis den udvidelse, der er anført oplysninger om deres politik eller forfatter.
Resultaterne af denne undersøgelse er lavet til rådighed i dag på CRXcavator web-portal, hvor brugerne kan kontrollere sikkerheden rapporter om deres favorit-udvidelse, eller send en udvidelse ID og have det scannet, hvis Duo forskere, der gik glip af det i løbet af deres Web-Butik analyse.
Men Duo Labs ikke scanne alle Chrome-udvidelser til noget formål overhovedet. Virksomheden har også udgivet i dag CRXcavator Samler Chrome-udvidelse.
Denne udvidelse blev udviklet til virksomhedens brug. Systemadministratorer kan installere en udvidelse på Pc ‘ af virksomhedens medarbejdere, og udvidelsen vil samle oplysninger om, hvad extensins medarbejdere havde hver installeret på deres systemer, og så sende disse data til en CRXcavator hensyn til, at system administratorer, der er oprettet i forvejen på CRXcavator portal.
Systemadministratorer kan gennemgå CRXcavator risikovurdering af hvert extensions brugere har installeret på deres systemer, og tillade eller nægte forlængelse inde i deres netværk med netværk-dækkende politikker.
“Dette giver organisationer mulighed for at vide præcis, hvilke udvidelser, der bliver brugt, hvem der bruger dem, og hvor meget risiko, der er bragt til den organisation, som deres brugere’ udvidelser,” Duo Labs siger forskerne i en pressemeddelelse i dag.
Men CRXcavator Samler udvidelse kan også bruges som en måde for medarbejderne at anmode om tilladelse, før du installerer en ny Chrome-udvidelse. Alle medarbejdere, der har at gøre, er at trykke på en knap, og angiv en årsag til, hvorfor de har brug for til at installere den nye udvidelse.
Systemadministratorer modtage denne anmodning til installation i deres CRXcavator konto instrumentbrættet, kan du kontrollere udvidelse CRXcavator risiko score, og tillade installation inde i deres netværk.
Behovet for at kontrollere, hvilke udvidelser medarbejdere bruger er en voksende faktor for moderne virksomheder. Med en markedsandel på over 60 procent, Chrome er en enorm angreb overflade, at de kriminelle grupper har en tendens til at udnytte.
Kriminelle grupper, der er kendt for at købe extensions fra udviklere, der har mistet interesse i at opretholde dem, og til at starte spear-phishing angreb i håb om at kapre en udvidelse developer ‘ s konto, så de kan skubbe skadelig kode.
Fra små til store, at virksomhederne er nødt til at holde øje med Chrome extensions i dag, så er der altid fare for, at en bliver brugt til industriel spionage eller svig.
Billede: Duo Labs
Mere browser dækning:
Google backtracks på Chrome ændringer, der ville have lammet ad-blokkere,
Google Chrome 73 officielt understøtter mms-tasterne på dit tastatur
Microsoft Kant lader Facebook køre Flash-kode bag brugernes backsGoogle er at køre en auto-opdatering-til-HTTPS eksperiment i ChromeWindows 10 Tidslinje udvidelse i Chrome, har netop landet fra MicrosoftGoogle arbejder på nye Chrome sikkerhed funktion at ‘udslette DOM XSS’What virksomheder har brug for at vide om den nye Chrom-baseret Kant TechRepublicAd-blokering Modige får hukommelse fordel i forhold til Chrome på nyheder hjemmesider CNET
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre