La société de sécurité d’entreprise Secure Annex a identifié un réseau de 57 extensions de navigateur, dont beaucoup ont distribué sans tradus Target=”_ Blank”> Les résultats, détaillés par le chercheur John Tuckner , découlent d’une enquête sur les extensions de chrome «non répertoriées» découvertes lors d’une revue du client. Les extensions non répertoriées ne sont pas découvrables grâce à des recherches standard sur les magasins de Web Chrome et nécessitent une URL directe pour l’installation, une méthode parfois exploitée pour distribuer un logiciel potentiellement indésirable ou malveillant sous le radar.
Fonctionnant
L’étude académique a identifié des problèmes communs contribuant au risque, notamment la tendance à des développeurs à la réutilisation du code, qui peuvent avoir un examen de la sécurité de propagat n’en avait jamais reçu. Cette négligence permet aux vulnérabilités de persister; Les chercheurs ont constaté que la moitié des extensions vulnérables connues restaient disponibles deux ans après la divulgation. En outre, l’enquête a conclu que «les notes des utilisateurs n’indiquent pas efficacement la sécurité des extensions. Les extensions malveillantes et bénignes ont souvent reçu des cotes similaires», ce qui suggère que les utilisateurs ne peuvent pas facilement discerner des modules complémentaires sûrs à des fins risquées en fonction de la rétroaction de la communauté. Les chercheurs ont recommandé une surveillance améliorée par Google, y compris des pratiques telles que «détecter les similitudes de code» et «extensions de signalisation à l’aide de bibliothèques obsolètes». L’étude de Stanford/Cispa a révélé que les logiciels malveillants persistaient généralement pendant environ 380 jours, tandis que les extensions vulnérables étaient en moyenne de 1 248 jours alarmant. Une illustration austère fournie était l’extension «TeleApp», qui était accessible pendant 8,5 ans avant l’identification de son contenu de logiciel malveillant. À la suite du rapport d’annexe sécurisé plus tôt cette année, Google a été informé et aurait étudié, en supprimant certaines, mais pas toutes, des extensions identifiées. Tout en reconnaissant les défis, Google soutient que les menaces actives représentent une petite fraction de l’activité globale. Benjamin Ackerman, Anunoy Ghosh et David Warren de l’équipe de sécurité Chrome de Google ont écrit 2024 dans un blog Néanmoins, ils ont souligné la nécessité d’une vigilance continue dans la surveillance des extensions. Répondant spécifiquement à la recherche Stanford/Cispa via
.