Специалисты компании Duo Labs решили узнать, как обстоят дела с безопасностью у расширений для браузера Chrome. Для этого исследователи создали специальный инструмент CRXcavator, и с его помощью просканировали Chrome Web Store, изучив код 120 463 расширений.
CRXcavator помог специалистам понять, какие права расширения запрашивают у пользователей, с какими внешними доменами поддерживают связь, используются ли они какие-либо уязвимые библиотеки, имеют ли доступ к данным OAuth2, проверяют ли хедеры Content Security Policy (CSP), а также есть ли у расширений политика конфиденциальности и какие-либо данные об авторах.
К сожалению, выводы исследователей выглядят удручающе. Эксперты Duo Labs установили:
- 84,7% расширений не имеют политики конфиденциальности и каких-либо документов, описывающих правовую сторону отношений между разработчиками и пользователями;
- 77,3% расширений не имеют официального сайта;
- 35,4% могут читать любые данные со всех сайтов, которые посещает пользователь;
- 31,8% используют в работе сторонние библиотеки JavaScript с известными уязвимостями;
- 9% могут иметь доступ и читать файлы куки, некоторые из которых используются для аутентификации.
Более детальные результаты исследования были опубликованы на сайте CRXcavator, где пользователи могут проверить отчет о своем любимом расширении или добавить ID нового расширения, чтобы эксперты Duo Labs изучили и его.
Кроме того, CRXcavator был выпущен и в формате расширения для Chrome, предназначенного для корпоративного использования. Администраторы могут устанавливать его на компьютеры сотрудников, и CRXcavator будет собирать информацию обо всех расширениях, работающих на машинах пользователей и их поведении. Затем отчеты будут передаваться на аккаунт администратора на портале CRXcavator.
Разработчики пишут, что с помощью этого инструмента администраторы смогут видеть, какие именно расширения используют их сотрудники, и с какими рисками это может быть сопряжено. Также CRXcavator может использоваться для контроля за установкой расширений: если пользователь решит установить себе новое расширение для браузера, он должен будет подать заявку на установку через CRXcavator, а администратор, изучив все возможные риски, сам примет решение, разрешить ли пользователю это действие.