______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Треть всех расширений для Chrome «видят» все данные на посещенных сайтах

Специалисты компании Duo Labs решили узнать, как обстоят дела с безопасностью у расширений для браузера Chrome. Для этого исследователи создали специальный инструмент CRXcavator, и с его помощью просканировали Chrome Web Store, изучив код 120 463 расширений.

CRXcavator помог специалистам понять, какие права расширения запрашивают у пользователей, с какими внешними доменами поддерживают связь, используются ли они какие-либо уязвимые библиотеки, имеют ли доступ к данным OAuth2, проверяют ли хедеры Content Security Policy (CSP), а также есть ли у расширений политика конфиденциальности и какие-либо данные об авторах.

К сожалению, выводы исследователей выглядят удручающе. Эксперты Duo Labs установили:

  • 84,7% расширений не имеют политики конфиденциальности и каких-либо документов, описывающих правовую сторону отношений между разработчиками и пользователями;
  • 77,3% расширений не имеют официального сайта;
  • 35,4% могут читать любые данные со всех сайтов, которые посещает пользователь;
  • 31,8% используют в работе сторонние библиотеки JavaScript с известными уязвимостями;
  • 9% могут иметь доступ и читать файлы куки, некоторые из которых используются для аутентификации.

Более детальные результаты исследования были опубликованы на сайте CRXcavator, где пользователи могут проверить отчет о своем любимом расширении или добавить ID нового расширения, чтобы эксперты Duo Labs изучили и его.

Кроме того, CRXcavator был выпущен и в формате расширения для Chrome, предназначенного для корпоративного использования. Администраторы могут устанавливать его на компьютеры сотрудников, и CRXcavator будет собирать информацию обо всех расширениях, работающих на машинах пользователей и их поведении. Затем отчеты будут передаваться на аккаунт администратора на портале CRXcavator.

Разработчики пишут, что с помощью этого инструмента администраторы смогут видеть, какие именно расширения используют их сотрудники, и с какими рисками это может быть сопряжено. Также CRXcavator может использоваться для контроля за установкой расширений: если пользователь решит установить себе новое расширение для браузера, он должен будет подать заявку на установку через CRXcavator, а администратор, изучив все возможные риски, сам примет решение, разрешить ли пользователю это действие.

 

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх