Mer än en tredjedel av alla Google Chrome-tillägg ber användare om tillstånd att komma åt och läsa alla deras data, på en webbplats, i en ny undersökning av över 120.000 Chrome-tillägg har visat.
Samma undersökning visade också att ungefär 85 procent av de 120.000 Chrome-tillägg som anges på Chrome Web Store inte har en sekretesspolicy som anges, vilket innebär att det finns inget juridiskt bindande dokument som beskriver hur förlängning utvecklare åtar sig att hantering av användaruppgifter.
Ytterligare undersökningen är bland annat att 77 procent av de testade Chrome-tillägg inte lista en webbplats för support, 32 procent som används av tredje part JavaScript-bibliotek som innehöll allmänt kända sårbarheter, och nio procent skulle kunna få tillgång till och läsa cookie-filer, av vilka en del används för autentisering verksamhet.
Denna gigantiska undersökningen genomfördes förra månaden av forskargruppen från OSS cyber-bevakningsföretag Duo laboratorium med hjälp av en ny webbtjänst som de utvecklat och som kallas CRXcavator.
Forskare skannade hela Chrome Web Store och analyserat källkoden och Web Store listor över 120,463 Chrome-tillägg och appar.
De tittade på vilka behörigheter tillägg som begärts från användare, med vilka externa domäner tillägg meddelas, om förlängningar används utsatta bibliotek, om de åt OAuth2 data, kollade Content Security Policy (CSP) som rubriker, och om förlängning anges någon information om sin policy eller författare.
Resultaten av denna studie görs tillgängliga idag på CRXcavator webb-portal där användarna kan kontrollera säkerheten rapporter om sin favorit förlängning, eller lämna en förlängning ID och ha det skannade om Duo forskare missade det under deras Web Butik analys.
Men Duo Labs inte skanna alla Chrome-tillägg för inget syfte alls. Företaget har även släppt idag CRXcavator Samlare Chrome extension.
Denna utvidgning var utvecklat för företag. Administratörer kan installera tillägget på St anställd i företaget, och i förlängningen kommer att samla in information om vad extensins anställda hade alla installerade på sina datorer och sedan skicka dessa data till ett CRXcavator konto som administratörer skapade i förväg på CRXcavator portal.
Systemadministratörer kan granska CRXcavator risken betyg för varje tillägg användare har installerat på sina datorer, och tillåta eller neka förlängning i sina nät med nät-policies.
“Detta möjliggör för organisationer att veta exakt vilka tillägg som används, vem som använder dem och hur mycket risk förs till organisation av sina användares förlängningar,” Duo Labs forskare sade i ett pressmeddelande i dag.
Men CRXcavator Samlare förlängning kan också användas som ett sätt för de anställda att begära tillstånd innan du installerar en ny Chrome-tillägget. Alla anställda behöver göra är att trycka på en knapp och ange en anledning till varför de behöver för att installera den nya utbyggnaden.
Systemadministratörer ta emot denna begäran för installation i deras CRXcavator instrumentpanelen för kontot kan kontrollera förlängning CRXcavator risken betyg, och låta dess installation inne i deras nätverk.
Behovet av att kontrollera vad som tillägg anställda använder är en växande faktor för moderna företag. Med en marknadsandel på över 60 procent, Chrome är en enorm attack yta som kriminella grupper tenderar att utnyttja.
Kriminella grupper är kända för att köpa tillägg från utvecklare som förlorat intresse av att upprätthålla dem, och för att starta spear-phishing-attacker i hopp om att kapa en förlängning utvecklare-konto så att de kan driva med skadlig kod.
Från små till stora företag behöver för att hålla ett öga på Chrome-tillägg numera, så det finns alltid risk för en används för industrispionage eller bedrägeri.
Bild: Duo Labs
Mer webbläsare täckning:
Google backtracks på Chrome-ändringar som skulle ha lamslagit ad-blockerare
Google Chrome 73 till officiellt stöd för multimedia tangenter på tangentbordet
Microsoft Kanten låter Facebook köra Flash-koden bakom användarnas backsGoogle kör en automatisk uppdatering-att-HTTPS experiment i ChromeWindows 10 Tidslinje Chrome extension har precis landat från MicrosoftGoogle arbeta på nya Chrome-säkerhet-funktionen att ” utplåna DOM-XSS’What företag behöver veta om den nya Krom-baserad Edge TechRepublicAd-blockerande Modig får minne fördel jämfört med Chrome på nyheter webbplatser CNET
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter