Эллипс 1Shape 1Forma 1Прямоугольник 6 копияBTCForma 1 копия 2Прямоугольник 9Forma 1Эллипс 1Shape 1Shape 1Эллипс 1Эллипс 1Эллипс 1Эллипс 1SettingsForma 1Эллипс 1Forma 1Эллипс 1Эллипс 1× копия 4Эллипс 1Эллипс 2$Эллипс 1Эллипс 1ICQЭллипс 1Эллипс 1Эллипс 1LogoForma 1Forma 1Эллипс 1Эллипс 4Forma 1%Эллипс 1+Forma 1Эллипс 1Эллипс 3Эллипс 1Эллипс 1Эллипс 1Эллипс 1Эллипс 1*Эллипс 1WebMoneyЭллипс 1Forma 1
  • RU
  • EN
Ваш IP: 52.206.226.77

Новости

Треть всех расширений для Chrome «видят» все данные на посещенных сайтах

 Специалисты компании Duo Labs решили узнать, как обстоят дела с безопасностью у расширений для браузера Chrome. Для этого исследователи создали специальный инструмент CRXcavator, и с его помощью просканировали Chrome Web Store, изучив код 120 463 расширений.

 

CRXcavator помог специалистам понять, какие права расширения запрашивают у пользователей, с какими внешними доменами поддерживают связь, используются ли они какие-либо уязвимые библиотеки, имеют ли доступ к данным OAuth2, проверяют ли хедеры Content Security Policy (CSP), а также есть ли у расширений политика конфиденциальности и какие-либо данные об авторах.

К сожалению, выводы исследователей выглядят удручающе. Эксперты Duo Labs установили:

  • 84,7% расширений не имеют политики конфиденциальности и каких-либо документов, описывающих правовую сторону отношений между разработчиками и пользователями;
  • 77,3% расширений не имеют официального сайта;
  • 35,4% могут читать любые данные со всех сайтов, которые посещает пользователь;
  • 31,8% используют в работе сторонние библиотеки JavaScript с известными уязвимостями;
  • 9% могут иметь доступ и читать файлы куки, некоторые из которых используются для аутентификации.

 

Более детальные результаты исследования были опубликованы на сайте CRXcavator, где пользователи могут проверить отчет о своем любимом расширении или добавить ID нового расширения, чтобы эксперты Duo Labs изучили и его.

Кроме того, CRXcavator был выпущен и в формате расширения для Chrome, предназначенного для корпоративного использования. Администраторы могут устанавливать его на компьютеры сотрудников, и CRXcavator будет собирать информацию обо всех расширениях, работающих на машинах пользователей и их поведении. Затем отчеты будут передаваться на аккаунт администратора на портале CRXcavator.

Разработчики пишут, что с помощью этого инструмента администраторы смогут видеть, какие именно расширения используют их сотрудники, и с какими рисками это может быть сопряжено. Также CRXcavator может использоваться для контроля за установкой расширений: если пользователь решит установить себе новое расширение для браузера, он должен будет подать заявку на установку через CRXcavator, а администратор, изучив все возможные риски, сам примет решение, разрешить ли пользователю это действие.