КАТАЛОГ ВЕБ-БРАУЗЕРОВ ДЛЯ
Абсолютно бесплатная и безопасная загрузка файлов. Удобная навигация, понятная система управления и всегда новые версии браузеров.
БРАУЗЕР - ВАШ ВЫХОД В ИНТЕРНЕТ! ОБНОВИТЕ ОБОЗРЕВАТЕЛЬ ИНТЕРНЕТА ДО АКТУАЛЬНОЙ ВЕРСИИ.
Представляем собственный
веб-браузер! S-Browser
веб-браузер! S-Browser
Главная » Все браузеры » Треть всех расширений Chrome запрашивает доступ к данным пользователей на сайте.
Разрешение монитора
Управление браузером
Треть всех расширений Chrome запрашивает доступ к данным пользователей на сайте.
12:31 МСК, 03 марта 2019 г. Автор: Admin
Более трети всех расширений Google Chrome запрашивают у пользователей разрешение на доступ и чтение всех их данных на любом веб-сайте. Об этом свидетельствуют результаты недавнего опроса более 120 000 расширений Chrome.
В том же опросе кроме этого было установлено, что примерно 85% из 120 000 расширений Chrome, перечисленных в Chrome Web Store, не имеют политики конфиденциальности, что означает, что нет юридически обязывающего документа, описывающего, как разработчики расширений обязуются обрабатывать пользовательские данные.
Дополнительные результаты опроса включают в себя тот факт, что 77 процентов протестированных расширений Chrome не указали ссылку на сайт поддержки, 32 процента использовали сторонние библиотеки JavaScript, которые содержали общеизвестные уязвимости, и девять процентов могли получать доступ и читать файлы cookie, некоторые из которых являются и используется для операций аутентификации.
Этот глобальный опрос был проведен в прошлом месяце исследовательской группой из американской компании по кибербезопасности Duo Labs, с помощью нового веб-сервиса, который они разработали и назвали CRXcavator. Исследователи обработали соответствующие данные из Интернет-магазина Chrome и проанализировали исходный код и списки Интернет-магазинов, содержащие 120 463 расширения и приложения для браузера Chrome.
Они также изучили, какие разрешения разрешают выполнять запрос у пользователей, с какими внешними доменами они взаимодействуют, используют ли расширения уязвимые библиотеки, обращаются ли они к данным OAuth2, проверяют ли заголовки Content Security Policy (CSP), и содержат ли расширения какую-либо информацию о своей политике конфиденциальности, или авторство. Результаты этого исследования доступны сегодня на веб-портале CRXcavator, где пользователи могут проверить отчеты о безопасности своего любимого расширения, или отправить его идентификатор, если исследователи Duo по какой-либо причине пропустили его во время анализа.
Но Duo Labs не сканировал тотально все дополнения из магазина Chrome. В дополнение к этому, компания выпустила сегодня расширение CRXcavator Gatherer Chrome. Оно было разработано сугубо для корпоративного использования. Системные администраторы могут установить расширение на ПК сотрудников компании, и оно будет собирать информацию о том, какие дополнения были установлены в их системах, а затем отправлять эти данные в учетную запись CRXcavator, которую системные администраторы заранее создали на портале CRXcavator.
Системные администраторы могут просматривать оценку риска CRXcavator для каждого конкретного расширения, установленного пользователями в своих системах, и разрешать, или запрещать его использование в своих сетях с помощью общесетевых политик. «Это позволяет организациям точно знать, какие расширения применяются, кто их использует, и какой риск приносит организациям расширениями своих пользователей» - говорится в сегодняшнем пресс-релизе исследователей Duo Labs.
Но расширение CRXcavator Gatherer также можно использовать для того, чтобы сотрудники могли запросить разрешение перед установкой нового расширения Chrome. Все что нужно сделать сотрудникам - это нажать кнопку и указать причину, по которой им необходимо установить то, или иное дополнение в браузер.
Системные администраторы получают этот запрос на установку в своей панели управления учетными записями CRXcavator, и могут проверить оценку риска CRXcavator расширения и разрешить его установку в своей сети. Необходимость контролировать, какие дополнения используют сотрудники, это является не маловажным фактором для современных предприятий. С долей рынка более 60 процентов, Chrome является огромной и перспективной целевой площадкой, которую склонны использовать даже криминальные структуры.
Известно, что криминальные группы покупают расширения у разработчиков, которые потеряли интерес к их обслуживанию, и запускают фишинговые атаки в надежде похитить учетную запись разработчика расширений, чтобы они могли распространять вредоносный код. В настоящее время компаниям необходимо следить за расширениями Chrome, от небольших до самых крупных, поскольку всегда существует опасность их использования для промышленного шпионажа, или мошенничества.
________________________________________________________________________________________________
Восемьдесят пять процентов всех расширений Chrome не имеют политики конфиденциальности.
Более трети всех расширений Google Chrome запрашивают у пользователей разрешение на доступ и чтение всех их данных на любом веб-сайте. Об этом свидетельствуют результаты недавнего опроса более 120 000 расширений Chrome.
В том же опросе кроме этого было установлено, что примерно 85% из 120 000 расширений Chrome, перечисленных в Chrome Web Store, не имеют политики конфиденциальности, что означает, что нет юридически обязывающего документа, описывающего, как разработчики расширений обязуются обрабатывать пользовательские данные.
Дополнительные результаты опроса включают в себя тот факт, что 77 процентов протестированных расширений Chrome не указали ссылку на сайт поддержки, 32 процента использовали сторонние библиотеки JavaScript, которые содержали общеизвестные уязвимости, и девять процентов могли получать доступ и читать файлы cookie, некоторые из которых являются и используется для операций аутентификации.
Этот глобальный опрос был проведен в прошлом месяце исследовательской группой из американской компании по кибербезопасности Duo Labs, с помощью нового веб-сервиса, который они разработали и назвали CRXcavator. Исследователи обработали соответствующие данные из Интернет-магазина Chrome и проанализировали исходный код и списки Интернет-магазинов, содержащие 120 463 расширения и приложения для браузера Chrome.
Они также изучили, какие разрешения разрешают выполнять запрос у пользователей, с какими внешними доменами они взаимодействуют, используют ли расширения уязвимые библиотеки, обращаются ли они к данным OAuth2, проверяют ли заголовки Content Security Policy (CSP), и содержат ли расширения какую-либо информацию о своей политике конфиденциальности, или авторство. Результаты этого исследования доступны сегодня на веб-портале CRXcavator, где пользователи могут проверить отчеты о безопасности своего любимого расширения, или отправить его идентификатор, если исследователи Duo по какой-либо причине пропустили его во время анализа.
Но Duo Labs не сканировал тотально все дополнения из магазина Chrome. В дополнение к этому, компания выпустила сегодня расширение CRXcavator Gatherer Chrome. Оно было разработано сугубо для корпоративного использования. Системные администраторы могут установить расширение на ПК сотрудников компании, и оно будет собирать информацию о том, какие дополнения были установлены в их системах, а затем отправлять эти данные в учетную запись CRXcavator, которую системные администраторы заранее создали на портале CRXcavator.
Системные администраторы могут просматривать оценку риска CRXcavator для каждого конкретного расширения, установленного пользователями в своих системах, и разрешать, или запрещать его использование в своих сетях с помощью общесетевых политик. «Это позволяет организациям точно знать, какие расширения применяются, кто их использует, и какой риск приносит организациям расширениями своих пользователей» - говорится в сегодняшнем пресс-релизе исследователей Duo Labs.
Но расширение CRXcavator Gatherer также можно использовать для того, чтобы сотрудники могли запросить разрешение перед установкой нового расширения Chrome. Все что нужно сделать сотрудникам - это нажать кнопку и указать причину, по которой им необходимо установить то, или иное дополнение в браузер.
Системные администраторы получают этот запрос на установку в своей панели управления учетными записями CRXcavator, и могут проверить оценку риска CRXcavator расширения и разрешить его установку в своей сети. Необходимость контролировать, какие дополнения используют сотрудники, это является не маловажным фактором для современных предприятий. С долей рынка более 60 процентов, Chrome является огромной и перспективной целевой площадкой, которую склонны использовать даже криминальные структуры.
Известно, что криминальные группы покупают расширения у разработчиков, которые потеряли интерес к их обслуживанию, и запускают фишинговые атаки в надежде похитить учетную запись разработчика расширений, чтобы они могли распространять вредоносный код. В настоящее время компаниям необходимо следить за расширениями Chrome, от небольших до самых крупных, поскольку всегда существует опасность их использования для промышленного шпионажа, или мошенничества.
________________________________________________________________________________________________
6416
- Браузеры на основе ...
- Firefox
- Internet Explorer
- Chromium
- Google Chrome
- Flock
- RockMelt
- CoolNovo
- Maxthon
- Comodo Dragon
- Midori
- BlackHawk
- Uran
- Sleipnir
- Torch Browser
- QIP Surf
- Orbitum
- Amigo
- Интернет
- Нихром
- Яндекс.Браузер
- Opera
- Chromodo Browser
- Cốc Cốc Browser
- Epic Privacy Browser
- SRWare Iron
- Спутник
- Baidu Browser
- Brave
- Neuron
- 1st Browser
- Рамблер-Браузер
- Coowon Browser
- Vivaldi
- Citrio
- AOL Shield Browser
- Tesla Browser
- Slimjet
- CentBrowser
- Mustang Browser
- Комета
- UC Browser
- Maelstrom
- Superbird
- AOL Desktop
- Aviator
- Andy Browser
