Enterprise Security Firm Secure Annex identificeerde een netwerk van 57 browservertensies, veel niet-traditioneel gedistribueerde, dat mogelijk bijna 6 miljoen gebruikers blootstelde aan belangrijke beveiligingsrisico’s zoals cookie diefstal en doordringende tracking.
de bevindingen, gedetailleerd door onderzoeker John Tuckner , kwam voort uit een onderzoek naar”niet-vermelde”chrome extensies ontdekt tijdens een klantreview. Niet-genoemde extensies zijn niet ontdekt via standaard zoekopdrachten van Chrome Web Store en vereisen een directe URL voor installatie, een methode die soms wordt gebruikt om potentieel ongewenste of kwaadaardige software onder de radar te distribueren.
The academic study identified common issues contributing to the risk, including the tendency for developers to reuse code from public sources, which can propagate security flaws, and a lack of updates – around 60% of studied Extensions hadden er nooit een ontvangen.
Met deze verwaarlozing kan kwetsbaarheden blijven bestaan; De onderzoekers ontdekten dat de helft van de bekende kwetsbare extensies twee jaar na de openbaarmaking beschikbaar bleef. Bovendien concludeerde het onderzoek dat”gebruikersbeoordelingen niet effectief de veiligheid van extensies aangeven. Malicious en goedaardige extensies hebben vaak vergelijkbare beoordelingen ontvangen”, wat suggereert dat gebruikers niet gemakkelijk veilige add-ons van risicovolle te onderscheiden op basis van communityfeedback alleen. De onderzoekers hebben verbeterde monitoring door Google aanbevolen, inclusief praktijken zoals”code-overeenkomsten detecteren”en”markerende extensies met behulp van verouderde bibliotheken.”
Vertraagde detectie en platformrespons
Problematische extensies vaak linger vóór het verwijderen van het risico. Uit de Stanford/CISPA-studie bleek dat malware meestal ongeveer 380 dagen bleef bestaan, terwijl kwetsbare extensies gemiddeld een alarmerende 1.248 dagen hadden. Een grimmige illustratie was de extensie”Teleapp”, die 8,5 jaar toegankelijk was voordat de malware-inhoud werd geïdentificeerd. Na het Secure Annex-rapport eerder dit jaar werd Google op de hoogte gebracht en naar verluidt onderzocht, waardoor sommige, maar niet alle, geïdentificeerde extensies worden verwijderd.
Terwijl de uitdagingen erkent, beweert Google dat actieve bedreigingen een kleine fractie van de algehele activiteit vertegenwoordigen. Benjamin Ackerman, Anunoy Ghosh en David Warren van het Chrome-beveiligingsteam van Google schreven 2024 in een blogpost die minder dan een percentage van alle installaties in 2024 ingevulde malware. Nonetheless, they stressed the need for ongoing vigilance in monitoring extensions.
Responding specifically to the Stanford/CISPA research via The Register, a Google Woordvoerder verklaarde:”We waarderen het werk van de onderzoeksgemeenschap en verwelkomen altijd suggesties voor manieren om de veiligheid van de Chrome-webwinkel te handhaven. We zijn het ermee eens dat onbekende extensies vaak minder veilig zijn, wat een van de redenen is dat we stappen ondernemen om ondersteuning te verwijderen voor verouderde V2-extensies. Uitbreidingsplatform als een belangrijk onderdeel van de beveiligingsstrategie. Manifest V3 introduceert strengere regels voor extensies, met name beperkt tot hun mogelijkheid om op afstand gehoste code uit te voeren-code gedownload van een server na installatie, wat een gemeenschappelijk mechanisme is geweest voor het introduceren van kwaadaardig gedrag na herziening na de herziening. het belang van die overgang.”Google is van plan om de ondersteuning voor het oudere manifest V2-platform volledig in begin 2025 af te schaffen, ontwikkelaars te duwen naar de beperktere en theoretisch veiliger, V3-architectuur.