圖片來源: 

Duo

資安業者Duo Security發表CRXcavator服務測試版,可用來檢驗Chrome擴充程式的安全風險,同時公布一份擴充程式分析報告,指出有84.7%的Chrome擴充程式缺乏隱私政策,並有31.8%使用了含有已知安全漏洞的第三方函式庫。

Duo Security指出,微軟從1997年10月發表的IE 4瀏覽器,奠定了以擴充程式來強化瀏覽器功能的基礎,而今,作為網路入口的瀏覽器已成為最主要的攻擊表面,Google的Chrome瀏覽器更占據了全球6成以上的市佔率,凝聚了超過18萬種的擴充程式,使得他們決定探究Chrome擴充程式的安全性,發展CRXcavator服務,掃描Chrome Web Store上的擴充程式並進行分析。

研究發現,Chrome Web Store上除了有惡意的擴充程式之外,也有一些合法或良性的擴充程式具備了可能遭受攻擊的Javascript,或者是採用了含有漏洞的第三方函式庫,也有些是使用者賦予了擴充程式過多的權限,還有些擴充程式雖然通過了企業的審核,隨後的改版卻帶來了漏洞或惡意功能。

目前Chrome Web Store上供應了超過18萬種品項,包括擴充程式、主題及Chrome App,Duo Security僅針對當中約12萬款的擴充程式與Chrome App展開分析。發現當中有84.7%(10.2萬個)擴充程式缺乏隱私政策,77.3%(9.3萬個)沒有列出支援網站,更有31.8%(3.8萬個)採用了含有已知漏洞的第三方函式庫。

使用者或企業也可在CRXcavator網站上,輸入常用的擴充程式以察看它們的風險評分,例如有淘寶國際版之稱的「全球速賣通」(AliExpress)的風險評分高達479,主要是源自於它有283個JavaScript檔案的外部呼叫,索取太多不明許可,以及所使用的RetireJS有兩個安全漏洞等。


Advertisement

更多 iThome相關內容