Công ty bảo mật Enterprise Phụ lục bảo mật đã xác định mạng gồm 57 phần mở rộng trình duyệt, nhiều phần mở rộng không truyền thống, có khả năng đưa gần 6 triệu người dùng gặp rủi ro bảo mật đáng kể như trộm cắp cookie và theo dõi pervasive.
Được chi tiết bởi nhà nghiên cứu John Tuckner , xuất phát từ một cuộc điều tra về các phần mở rộng Chrome chưa niêm yết”được phát hiện trong một đánh giá của khách hàng. Các tiện ích mở rộng chưa được liệt kê không thể phát hiện được thông qua các tìm kiếm cửa hàng trang web Chrome tiêu chuẩn và yêu cầu URL trực tiếp để cài đặt, một phương thức đôi khi được khai thác để phân phối phần mềm có khả năng không mong muốn hoặc độc hại trong radar. Bảo mật , Phụ lục bảo mật đã tổng hợp danh sách 57 phần mở rộng nghi ngờ. Phân tích cho thấy các tiện ích bổ sung được yêu cầu cho phép họ truy cập vào cookie của người dùng-có khả năng bao gồm các mã thông báo xác thực nhạy cảm được sử dụng để duy trì các phiên đăng nhập-bên cạnh các khả năng để theo dõi thói quen duyệt web, thay đổi kết quả tìm kiếm, tiêm và thực hiện các tập lệnh từ xa và triển khai href=”http://unknow.com/”target=”_ blank”> unkn.com , đề xuất cấu trúc chỉ huy và kiểm soát phối hợp. Tuckner lưu ý rằng trong khi các dữ liệu trực tiếp được quan sát thấy trong quá trình phân tích của họ, thì các khả năng mở rộng và việc sử dụng mã bị che giấu rất mạnh về tiềm năng phần mềm gián điệp. Khả năng đánh cắp cookie phiên đặc biệt liên quan vì nó có thể cho phép kẻ tấn công bỏ qua các tài khoản xác thực và tặc đa yếu tố. Quy mô tuyệt đối của vấn đề đã được trình bày chi tiết năm 2024 trong một nghiên cứu tìm thấy những thiếu sót bảo mật đáng chú ý trong cửa hàng trang web Chrome, được thực hiện bởi các nhà nghiên cứu từ Đại học Stanford và Trung tâm bảo mật thông tin CISpa Helmholtz. Giữa năm 2020 đến đầu năm 2023, đã tìm thấy hơn 346 triệu lượt tải xuống của những gì họ gọi là các phần mở rộng đáng chú ý của bảo mật,”bao gồm phần mềm độc hại, người vi phạm chính sách và các phần mở rộng với mã dễ bị tổn thương. Các tiện ích mở rộng chưa bao giờ nhận được một.
Sự bỏ bê này cho phép các lỗ hổng tồn tại; Các nhà nghiên cứu đã tìm thấy một nửa các phần mở rộng dễ bị tổn thương đã biết vẫn còn hai năm sau khi tiết lộ. Hơn nữa, cuộc điều tra đã kết luận rằng xếp hạng người dùng của người dùng không chỉ ra một cách hiệu quả sự an toàn của các phần mở rộng. Các tiện ích mở rộng độc hại và lành tính thường nhận được xếp hạng tương tự”, cho thấy người dùng không thể dễ dàng nhận ra các tiện ích bổ sung an toàn từ những người có rủi ro chỉ dựa trên phản hồi của cộng đồng. Các nhà nghiên cứu đã đề xuất giám sát nâng cao của Google, bao gồm các thực tiễn như phát hiện sự tương đồng về mã”và các phần mở rộng gắn cờ sử dụng các thư viện lỗi thời.”Nghiên cứu của Stanford/CISPA cho thấy phần mềm độc hại thường tồn tại trong khoảng 380 ngày, trong khi các phần mở rộng dễ bị tổn thương trung bình là 1.248 ngày đáng báo động. Một minh họa rõ ràng được cung cấp là phần mở rộng TeleApp,”có thể truy cập được trong 8,5 năm trước khi nội dung phần mềm độc hại được xác định. Theo báo cáo Phụ lục an toàn vào đầu năm nay, Google đã được thông báo và điều tra, loại bỏ một số, nhưng không phải tất cả, các phần mở rộng được xác định. Benjamin Ackerman, Anunoy Ghosh và David Warren từ nhóm bảo mật Google Google Chrome đã viết năm 2024 trong