企業安全公司的安全附件確定了一個由57個瀏覽器擴展的網絡,許多網絡在非傳統上分佈了,該網絡可能會使近600萬用戶暴露於cookie Theft和Pervasive Tracking等重大安全風險。
Working with fellow security firm Obsidian安全,安全附件編制了57個可疑擴展名單。分析揭示了這些附加功能的廣泛許可,使它們可以訪問用戶cookie(可能包括用於維持登錄會話的敏感身份驗證令牌-以及可以監視瀏覽習慣,更改搜索結果,注入遠程腳本和執行遠程腳本以及部署高級跟踪技術的功能。 href=“ http://unknow.com/” target=“ _ blank”> unknow.com ,建議使用協調的命令和控制結構。塔克納(Tuckner)指出,儘管在分析過程中未觀察到直接數據滲透,但擴展的功能和使用的混淆代碼的使用強烈指向間諜軟件潛力。竊取會話cookie的能力尤其令人擔憂,因為它可以允許攻擊者繞過多因素身份驗證和劫持帳戶。
擴展安全挑戰的模式
該發現突出了瀏覽EcoSystems中正在進行的安全性問題。該問題的巨大規模在一項研究中詳細介紹了一項研究,發現Chrome網絡商店中的顯著安全缺點是由斯坦福大學和Cispa Helmholtz信息安全中心進行的。
他們的
The academic study identified common issues contributing to the risk, including the tendency for developers to reuse code from public sources, which can propagate security flaws, and a lack of updates – around 60% of studied擴展從未收到過。 這種忽視使脆弱性持續存在。研究人員發現,披露後兩年可用的一半已知脆弱的擴展。此外,調查得出的結論是,“用戶評分並不能有效地表明擴展的安全性。惡意和良性擴展通常會獲得相似的評級”,這表明用戶不能僅基於社區反饋而輕鬆地從風險的附加組件中辨別出安全的附加組件。研究人員建議對Google進行增強監控,包括“檢測代碼相似性”和“使用過時的庫進行標記擴展。” 有問題的擴展通常在拆除前持續下去,使風險加劇。斯坦福/CISPA的研究發現,惡意軟件通常持續約380天,而脆弱的擴展名平均令人震驚的1,248天。提供的一個鮮明的插圖是擴展名“ teleapp”,在確定其惡意軟件內容之前,它可以使用8.5年。在今年早些時候發布了安全的附件報告後,據報導並調查了Google,刪除了一些但不是全部確定的擴展。 在承認挑戰的同時,Google堅持認為,主動威脅是一小部分整體活動。 Google Chrome安全團隊的Benjamin Ackerman,Anunoy Ghosh和David Warren在A Responding specifically to the Stanford/CISPA research via The Register, a Google發言人說:“我們感謝研究社區的工作,並始終歡迎有關維持Chrome網絡商店安全的方法的建議。我們同意,未經來臨的擴展通常不太安全,這是我們採取步驟取消對過時的V2擴展的支持的原因之一。擴展平台是其安全策略的關鍵部分。清單V3引入了更嚴格的擴展規則,特別是限制了他們執行遠程託管代碼的能力-安裝後從服務器下載的代碼-這是一種常見的機制,用於引入評估後惡意行為。 發言人補充說,“ v3均在包括眾多的範圍內構成了眾多範圍,以此為眾多的範圍,以此為眾所周知,人們所吸引的眾多範圍是為了構成眾多的態度,因此,人們所挑選的眾多範圍是如此,以至於構成了眾多的態度,因此,人們所構成的眾多範圍是如此,以至於構成了眾多的態度,因此,人們所構成的眾多範圍是如此,以至於構成了眾多的態度,因此,這是一個挑剔的範圍。支持該過渡的重要性。 ” Google打算在2025年初完全淘汰對較舊的清單V2平台的支持,從而將開發人員推向了受限制和理論上更安全的V3體系結構。 延遲檢測和平台響應
