Più di un terzo di tutte le estensioni di Google Chrome chiedere agli utenti il permesso di accedere e leggere i propri dati su un qualsiasi sito web, un recente sondaggio di oltre 120.000 le estensioni di Chrome ha rivelato.
La stessa indagine ha anche rilevato che circa l ‘ 85 per cento dei 120.000 estensioni di Chrome elencati sul Chrome Web Store non avere una politica sulla privacy elencati, che significa non c’è giuridicamente vincolante, documento che descrive come gli sviluppatori di estensioni che si stanno impegnando per la gestione dei dati utente.
Ulteriori risultati dell’indagine includono il fatto che il 77 per cento delle testate le estensioni di Chrome non elenco un sito di supporto, il 32 per cento utilizzato terze parti librerie JavaScript che conteneva pubblicamente le vulnerabilità conosciute e nove per cento potrebbe accedere e leggere i file cookie, alcuni dei quali sono utilizzati per le operazioni di autenticazione.
Questa gigantesca indagine è stata condotta il mese scorso dal gruppo di ricerca da NOI cyber-sicurezza ditta Duo Laboratori, con l’aiuto di un nuovo servizio web che hanno sviluppato e chiamato CRXcavator.
Ricercatori hanno analizzato l’interezza del Chrome Web Store e analizzato il codice sorgente e Web Negozio elenchi di 120,463 le estensioni di Chrome e apps.
Guardavano i quali autorizzazioni sono estensioni di richieste da parte degli utenti, con quello esterno domini estensioni comunicati, se le estensioni utilizzate vulnerabili librerie, se si accede OAuth2 dati, controllato Content Security Policy (CSP) le intestazioni, e se l’estensione elencati alcuna informazione circa la sua politica sulla privacy o di un autore.
I risultati di questo studio sono disponibili oggi sul CRXcavator portale web, dove gli utenti possono controllare i rapporti di sicurezza circa la loro estensione preferita, o inviare un’estensione ID e hanno scansionato se Duo ricercatori persa durante il loro Web Negozio di analisi.
Ma il Duo Labs non effettuate tutte le estensioni di Chrome per nessuno scopo. La società ha anche rilasciato oggi il CRXcavator Gatherer estensione di google Chrome.
Questa estensione è stata sviluppata per l’uso aziendale. Gli amministratori di sistema possono installare l’estensione sul Pc di un dipendente di una società, e l’estensione di raccogliere informazioni su ciò che estensine dipendenti hanno installato sui loro sistemi, e quindi invia questi dati a un CRXcavator conto che gli amministratori di sistema creata in precedenza il CRXcavator portale.
Gli amministratori di sistema possono esaminare i CRXcavator punteggio di rischio di ogni estensioni che gli utenti hanno installato sui loro sistemi, e consentire o meno l’estensione all’interno delle loro reti con rete-politiche.
“Questo consente alle organizzazioni di sapere esattamente che cosa sono le estensioni di essere utilizzato, da chi e quanto rischio è portato per l’organizzazione da parte dei loro utenti estensioni,” Duo Laboratori i ricercatori hanno detto in un comunicato stampa di oggi.
Ma il CRXcavator Gatherer estensione può essere utilizzato anche come un modo per i dipendenti di chiedere il permesso prima di installare una nuova estensione di google Chrome. Tutti i dipendenti hanno a che fare è premere un pulsante e immettere un motivo per cui hanno bisogno di installare la nuova estensione.
Gli amministratori di sistema ricevere la richiesta per l’installazione nella loro CRXcavator conto del cruscotto, può controllare l’estensione del CRXcavator punteggio di rischio, e permettono la sua installazione all’interno della loro rete.
La necessità di controllare ciò che le estensioni ai dipendenti di utilizzare un fattore di crescita per le aziende moderne. Con una quota di mercato di oltre il 60 per cento, Chrome è un enorme superficie di attacco che i gruppi criminali che tendono a sfruttare.
I gruppi criminali sono noti per acquistare le estensioni da parte degli sviluppatori che hanno perso interesse nel mantenere loro, e per il lancio di spear-phishing, nella speranza di dirottamento di un sviluppatore dell’estensione dell’account in modo che si può spingere codice dannoso.
Dal piccolo al grande, le aziende hanno bisogno di mantenere un occhio su estensioni di Chrome al giorno d’oggi, c’è sempre il rischio di essere usati a fini di spionaggio industriale o di frode.
Immagine: Duo Labs
Più browser copertura:
Google ritorna su Chrome modifiche che avrebbe paralizzato annuncio bloccanti
Google Chrome 73 supporta ufficialmente i tasti multimediali della tastiera
Microsoft Edge consente a Facebook di esecuzione del codice Flash dietro utenti backsGoogle esegue un auto-update-per-HTTPS esperimento in ChromeWindows 10 Timeline estensione di google Chrome è appena atterrato da MicrosoftGoogle lavoro sul nuovo Chrome funzione di protezione per ‘cancellare DOM XSS’What le imprese hanno bisogno di conoscere il nuovo Cromo-based Bordo TechRepublicdi blocco degli Annunci Coraggioso ottiene memoria vantaggio su Chrome su siti web di notizie CNET
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati