Рекомендуем почитать:
Специалисты компании Duo Labs решили узнать, как обстоят дела с безопасностью у расширений для браузера Chrome. Для этого исследователи создали специальный инструмент CRXcavator, и с его помощью просканировали Chrome Web Store, изучив код 120 463 расширений.
CRXcavator помог специалистам понять, какие права расширения запрашивают у пользователей, с какими внешними доменами поддерживают связь, используются ли они какие-либо уязвимые библиотеки, имеют ли доступ к данным OAuth2, проверяют ли хедеры Content Security Policy (CSP), а также есть ли у расширений политика конфиденциальности и какие-либо данные об авторах.
К сожалению, выводы исследователей выглядят удручающе. Эксперты Duo Labs установили:
Более детальные результаты исследования были опубликованы на сайте CRXcavator, где пользователи могут проверить отчет о своем любимом расширении или добавить ID нового расширения, чтобы эксперты Duo Labs изучили и его.
Кроме того, CRXcavator был выпущен и в формате расширения для Chrome, предназначенного для корпоративного использования. Администраторы могут устанавливать его на компьютеры сотрудников, и CRXcavator будет собирать информацию обо всех расширениях, работающих на машинах пользователей и их поведении. Затем отчеты будут передаваться на аккаунт администратора на портале CRXcavator.
Разработчики пишут, что с помощью этого инструмента администраторы смогут видеть, какие именно расширения используют их сотрудники, и с какими рисками это может быть сопряжено. Также CRXcavator может использоваться для контроля за установкой расширений: если пользователь решит установить себе новое расширение для браузера, он должен будет подать заявку на установку через CRXcavator, а администратор, изучив все возможные риски, сам примет решение, разрешить ли пользователю это действие.
Читайте также
Последние новости