本文作者:里维斯社

google浏览器Chrome扩展程序存在安全隐患

里维斯社 3个月前 ( 03-10 ) 1737 抢沙发
摘要: 最近对120,000个Chrome扩展程序的调查显示,超过三分之一的Google Chrome扩展程序要求用户允许用户访问和阅读任何网站上的所有数据。同一调查还发现,Chrome网...

最近对120,000个Chrome扩展程序的调查显示,超过三分之一的Google Chrome扩展程序要求用户允许用户访问和阅读任何网站上的所有数据。同一调查还发现,Chrome网上应用店中列出的120,000个Chrome扩展程序中约有85%未列出隐私政策,这意味着没有具有法律约束力的文档描述了扩展程序开发人员承诺如何处理用户数据。

google浏览器Chrome扩展程序存在安全隐患 网络安全 系统管理员 谷歌浏览器 百度资讯 移动互联网 海纳百川 科技新闻 互联网 站长经验 站长故事 网络新鲜事 第1张

其他调查结果包括77%的测试Chrome扩展程序未列出支持网站,32%的扩展程序使用包含开放漏洞的第三方JavaScript库,9%的扩展程序可以访问和读取cookie文件,其中一些使用身份验证操作。

上个月,美国网络安全公司Duo Labs的一个研究小组开展了海量数据调查,他们开发了一种名为CRXcavator的新网络服务。研究人员扫描了整个Chrome网上应用店,分析了120,463个Chrome扩展程序和应用的源代码和在线商店详情。


他们查看了用户请求的权限扩展,扩展了外部域通信;扩展是否使用易受攻击的库;他们是否访问过OAuth2数据;是否已检查内容安全策略(CSP)标头以及是否列出了扩展名有关其隐私政策或作者的任何信息。

这项研究的结果可以在CRXcavator网站上找到,用户可以在该网站上查看他们最感兴趣的扩展程序的安全报告,或者如果Duo的研究人员错过他们的网上商店分析,则提交扩展ID。扩展名,他们可以扫描扩展ID。

但是Duo Labs没有无意识地扫描所有Chrome扩展程序。该公司还在21日发布了CRXcavator Gatherer Chrome扩展。此扩展程序是为企业使用而开发的。系统管理员可以在公司员工的PC上安装扩展。这些扩展收集有关员工在其系统上安装了哪些扩展的信息,然后将该数据发送到系统管理员在CRXcavator门户上预先创建的CRXcavator帐户。 。

系统管理员可以查看用户在其系统上安装的每个分机的CRXcavator风险分数,同时允许或禁止其网络中的分机使用网络范围的策略。 Duo Labs的研究人员在一份新闻稿中表示:“这使得公司可以确切地知道正在使用哪些扩展,谁在使用它们,以及用户扩展对业务造成的风险。”

但CRXcavator收集器扩展也可用作员工在安装新的Chrome扩展程序之前请求权限的一种方式。所有员工只需按下按钮,然后输入安装新扩展所需的原因。

系统管理员在其CRXcavator帐户仪表板中收到安装请求,该仪表板可以检查扩展的CRXcavator风险评分并允许它们安装在其网络上。对于现代公司而言,使用各种扩展来指导和控制员工是一个日益增长的因素。 Chrome的市场份额超过60%,是犯罪团伙经常使用的巨大攻击面。

众所周知,犯罪团体向开发人员购买扩展程序,这些扩展程序对维护扩展程序失去兴趣,并发起鱼叉式网络钓鱼攻击,希望劫持扩展开发人员的帐户并推送恶意代码。无论程序规模如何,公司现在都需要关注Chrome的扩展,因为它总是存在被用于商业间谍或欺诈的风险。


推荐阅读:

浅谈新人做网络赚钱读书有没有用?

Windows Server 2016服务器如何显示我的计算机图标?

6666/8888靓号特惠来袭永久买断低至488元 适合自己用

文章投稿或转载声明:

来源:里维斯社版权归原作者所有,转载请保留出处。本站文章发布于 3个月前 ( 03-10 )
温馨提示:文章内容系作者个人观点,不代表我爱技术网对其观点赞同或支持。

赞(0

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

发表评论

快捷回复:

评论列表 (暂无评论,1737人围观)参与讨论

还没有评论,来说两句吧...