Треть всех расширений Chrome запрашивает доступ к данным пользователей на сайте.
12:31 МСК, 03 марта 2019 г. Автор: Admin
Восемьдесят пять процентов всех расширений Chrome не имеют политики конфиденциальности.
Более трети всех расширений Google Chrome запрашивают у пользователей разрешение на доступ и чтение всех их данных на любом веб-сайте. Об этом свидетельствуют результаты недавнего опроса более 120 000 расширений Chrome.
В том же опросе кроме этого было установлено, что примерно 85% из 120 000 расширений Chrome, перечисленных в Chrome Web Store, не имеют политики конфиденциальности, что означает, что нет юридически обязывающего документа, описывающего, как разработчики расширений обязуются обрабатывать пользовательские данные.
Дополнительные результаты опроса включают в себя тот факт, что 77 процентов протестированных расширений Chrome не указали ссылку на сайт поддержки, 32 процента использовали сторонние библиотеки JavaScript, которые содержали общеизвестные уязвимости, и девять процентов могли получать доступ и читать файлы cookie, некоторые из которых являются и используется для операций аутентификации.
Этот глобальный опрос был проведен в прошлом месяце исследовательской группой из американской компании по кибербезопасности Duo Labs, с помощью нового веб-сервиса, который они разработали и назвали CRXcavator. Исследователи обработали соответствующие данные из Интернет-магазина Chrome и проанализировали исходный код и списки Интернет-магазинов, содержащие 120 463 расширения и приложения для браузера Chrome.
Они также изучили, какие разрешения разрешают выполнять запрос у пользователей, с какими внешними доменами они взаимодействуют, используют ли расширения уязвимые библиотеки, обращаются ли они к данным OAuth2, проверяют ли заголовки Content Security Policy (CSP), и содержат ли расширения какую-либо информацию о своей политике конфиденциальности, или авторство. Результаты этого исследования доступны сегодня на веб-портале CRXcavator, где пользователи могут проверить отчеты о безопасности своего любимого расширения, или отправить его идентификатор, если исследователи Duo по какой-либо причине пропустили его во время анализа.
Но Duo Labs не сканировал тотально все дополнения из магазина Chrome. В дополнение к этому, компания выпустила сегодня расширение CRXcavator Gatherer Chrome. Оно было разработано сугубо для корпоративного использования. Системные администраторы могут установить расширение на ПК сотрудников компании, и оно будет собирать информацию о том, какие дополнения были установлены в их системах, а затем отправлять эти данные в учетную запись CRXcavator, которую системные администраторы заранее создали на портале CRXcavator.
Системные администраторы могут просматривать оценку риска CRXcavator для каждого конкретного расширения, установленного пользователями в своих системах, и разрешать, или запрещать его использование в своих сетях с помощью общесетевых политик. «Это позволяет организациям точно знать, какие расширения применяются, кто их использует, и какой риск приносит организациям расширениями своих пользователей» - говорится в сегодняшнем пресс-релизе исследователей Duo Labs.
Но расширение CRXcavator Gatherer также можно использовать для того, чтобы сотрудники могли запросить разрешение перед установкой нового расширения Chrome. Все что нужно сделать сотрудникам - это нажать кнопку и указать причину, по которой им необходимо установить то, или иное дополнение в браузер.
Системные администраторы получают этот запрос на установку в своей панели управления учетными записями CRXcavator, и могут проверить оценку риска CRXcavator расширения и разрешить его установку в своей сети. Необходимость контролировать, какие дополнения используют сотрудники, это является не маловажным фактором для современных предприятий. С долей рынка более 60 процентов, Chrome является огромной и перспективной целевой площадкой, которую склонны использовать даже криминальные структуры.
Известно, что криминальные группы покупают расширения у разработчиков, которые потеряли интерес к их обслуживанию, и запускают фишинговые атаки в надежде похитить учетную запись разработчика расширений, чтобы они могли распространять вредоносный код. В настоящее время компаниям необходимо следить за расширениями Chrome, от небольших до самых крупных, поскольку всегда существует опасность их использования для промышленного шпионажа, или мошенничества. ________________________________________________________________________________________________