Следующая новость
Предыдущая новость

Треть всех расширений для Chrome «видят» все данные на посещенных сайтах

22.02.2019 23:12
Треть всех расширений для Chrome «видят» все данные на посещенных сайтах

Рекомендуем почитать:

Xakep #238. Забытый Android

  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты компании Duo Labs решили узнать, как обстоят дела с безопасностью у расширений для браузера Chrome. Для этого исследователи создали специальный инструмент CRXcavator, и с его помощью просканировали Chrome Web Store, изучив код 120 463 расширений.

CRXcavator помог специалистам понять, какие права расширения запрашивают у пользователей, с какими внешними доменами поддерживают связь, используются ли они какие-либо уязвимые библиотеки, имеют ли доступ к данным OAuth2, проверяют ли хедеры Content Security Policy (CSP), а также есть ли у расширений политика конфиденциальности и какие-либо данные об авторах.

К сожалению, выводы исследователей выглядят удручающе. Эксперты Duo Labs установили:

  • 84,7% расширений не имеют политики конфиденциальности и каких-либо документов, описывающих правовую сторону отношений между разработчиками и пользователями;
  • 77,3% расширений не имеют официального сайта;
  • 35,4% могут читать любые данные со всех сайтов, которые посещает пользователь;
  • 31,8% используют в работе сторонние библиотеки JavaScript с известными уязвимостями;
  • 9% могут иметь доступ и читать файлы куки, некоторые из которых используются для аутентификации.

Треть всех расширений для Chrome «видят» все данные на посещенных сайтах

Более детальные результаты исследования были опубликованы на сайте CRXcavator, где пользователи могут проверить отчет о своем любимом расширении или добавить ID нового расширения, чтобы эксперты Duo Labs изучили и его.

Кроме того, CRXcavator был выпущен и в формате расширения для Chrome, предназначенного для корпоративного использования. Администраторы могут устанавливать его на компьютеры сотрудников, и CRXcavator будет собирать информацию обо всех расширениях, работающих на машинах пользователей и их поведении. Затем отчеты будут передаваться на аккаунт администратора на портале CRXcavator.

Разработчики пишут, что с помощью этого инструмента администраторы смогут видеть, какие именно расширения используют их сотрудники, и с какими рисками это может быть сопряжено. Также CRXcavator может использоваться для контроля за установкой расширений: если пользователь решит установить себе новое расширение для браузера, он должен будет подать заявку на установку через CRXcavator, а администратор, изучив все возможные риски, сам примет решение, разрешить ли пользователю это действие.

Источник

Последние новости