enterprise security firm Ang Secure Annex ay nakilala ang isang network ng 57 mga extension ng browser, maraming ipinamamahagi na hindi tradisyonal, na potensyal na nakalantad ng halos 6 milyong mga gumagamit sa mga makabuluhang panganib sa seguridad tulad ng pagnanakaw ng cookie at pervasive na pagsubaybay. Ang detalyado ng mananaliksik na si John Tuckner , ay nagmula sa isang pagsisiyasat sa”hindi nakalista”na mga extension ng chrome na natuklasan sa panahon ng pagsusuri ng kliyente. Ang mga hindi nakalista na mga extension ay hindi matuklasan sa pamamagitan ng karaniwang mga paghahanap sa web store ng chrome at nangangailangan ng isang direktang URL para sa pag-install, isang pamamaraan kung minsan ay pinagsamantalahan upang ipamahagi ang mga potensyal na hindi kanais-nais o nakakahamak na software sa ilalim ng radar. Security , naipon ng Secure Annex ang listahan ng 57 na mga extension ng pinaghihinalaang. Ang pagtatasa ay nagsiwalat ng mga add-on na hiniling ng malawak na mga pahintulot na nagpapahintulot sa kanila na mag-access sa mga cookies ng gumagamit-potensyal na kabilang ang mga sensitibong token ng pagpapatunay na ginamit upang mapanatili ang mga sesyon ng pag-login-sa tabi ng mga kakayahan upang masubaybayan ang mga gawi sa pag-browse, baguhin ang mga resulta ng paghahanap, mag-iniksyon at magsagawa ng mga remote na script, at ang pag-deploy ng mga advanced na diskarte sa pagsubaybay sa mga diskarte sa pagsubaybay. href=”http://unknow.com/”target=”_ blangko”> unknow.com , na nagmumungkahi ng isang coordinated command-and-control na istraktura. Nabanggit ni Tuckner na habang ang direktang pag-exfiltration ng data ay hindi napansin sa kanilang pagsusuri, ang mga kakayahan ng mga extension at paggamit ng obfuscated code na malakas na itinuro patungo sa potensyal ng spyware. Ang kakayahang magnakaw ng cookies ng session ay partikular na tungkol sa pagpapahintulot sa mga umaatake na makaligtaan ang pagpapatunay ng multi-factor at hijack account. Ang manipis na sukat ng problema ay detalyado 2024 sa isang pag-aaral sa paghahanap ng mga kilalang pagkukulang sa seguridad sa Chrome Web Store, na isinasagawa ng mga mananaliksik mula sa Stanford University at ang Cispa Helmholtz Center para sa Impormasyon sa Seguridad. kalagitnaan ng 2020 hanggang sa unang bahagi ng 2023, natagpuan ang higit sa 346 milyong pag-download ng kung ano ang tinatawag nilang”mga extension na hindi mabibigat na seguridad,”na sumasaklaw sa mga malware, mga lumalabag sa patakaran, at mga extension na may mga mahina na code. ay hindi pa nakatanggap ng isa.
Ang pagpapabaya na ito ay nagbibigay-daan sa mga kahinaan na magpatuloy; Natagpuan ng mga mananaliksik ang kalahati ng mga kilalang mahina na extension ay nanatiling magagamit ng dalawang taon na post-pagsisiwalat. Bukod dito, ang pagsisiyasat ay nagtapos na ang”mga rating ng gumagamit ay hindi epektibong nagpapahiwatig ng kaligtasan ng mga extension. Ang mga nakakahamak at benign na mga extension ay madalas na nakatanggap ng mga katulad na rating”, na nagmumungkahi ng mga gumagamit ay hindi madaling makilala ang mga ligtas na add-on mula sa mga peligrosong batay sa feedback ng komunidad lamang. Inirerekomenda ng mga mananaliksik ang pinahusay na pagsubaybay sa pamamagitan ng Google, kabilang ang mga kasanayan tulad ng”pagtuklas ng mga pagkakapareho ng code”at”pag-flag ng mga extension gamit ang mga napapanahong mga aklatan.”Ang pag-aaral ng Stanford/CISPA ay natagpuan ang malware na karaniwang nagpapatuloy sa loob ng halos 380 araw, habang ang mga mahina na extension ay nag-average ng isang nakababahala na 1,248 araw. Ang isang stark na paglalarawan na ibinigay ay ang extension na”Teleapp,”na maa-access sa loob ng 8.5 taon bago matukoy ang nilalaman ng malware. Kasunod ng ligtas na ulat ng Annex mas maaga sa taong ito, ang Google ay na-notify at naiulat na sinisiyasat, na tinanggal ang ilan, ngunit hindi lahat, ng mga natukoy na extension. Si Benjamin Ackerman, Anunoy Ghosh, at David Warren mula sa pangkat ng seguridad ng Google ay sumulat ng 2024 sa isang