Наскільки серйозна проблема шкідливих розширень у вебмагазині Chrome? Це залежить від того, кому ви вірите.
В Google кажуть, що менше 1% усіх встановлень містять зловмисне програмне забезпечення. Але група університетських дослідників стверджує, що 280 мільйонів людей встановили заражене шкідливим програмним забезпеченням розширення Chrome протягом 3 років, повідомляє TechSpot.
Минулого тижня Google заявив, що у 2024 році менше 1% усіх встановлень із вебмагазину Chrome, який зараз містить понад 250 тисяч розширень, містили зловмисне ПЗ.
У компанії додали, що, незважаючи на те, що вони пишалися своєю безпекою, деякі погані розширення все одно проходять, тому вони також відстежують опубліковані розширення.
«Як і будь-яке інше програмне забезпечення, розширення також можуть становити ризик», – зазначила команда безпеки Google.
Точну цифру навели дослідники Шеріл Хсу, Манда Тран й Аурора Фасс зі Стенфордського університету та Центру інформаційної безпеки імені Гельмгольца CISPA.
Згідно з даними дослідницької статті, тріо перевірило Security-Noteworthy Extensions (SNE) у магазині Chrome. SNE визначаються як розширення, що містять зловмисне програмне забезпечення, порушують політику вебмагазину Chrome або містять вразливий код.
З’ясувалося, що з липня 2020 року по лютий 2023 року 346 мільйонів користувачів встановили SNE. Хоча 63 мільйони порушували політику, а 3 мільйони були вразливими, 280 мільйонів із цих розширень Chrome містили зловмисне ПЗ. На той час у вебмагазині Chrome було доступно майже 125 тисяч розширень.
Дослідники виявили, що безпечні розширення Chrome зазвичай не залишаються в магазині дуже довго: лише 51,8–62,9% доступні через рік. З іншого боку, SNE залишалися у сховищі в середньому 380 днів (зловмисне програмне забезпечення) і 1248 днів, якщо вони містили вразливий код.
SNE, яка найдовше збереглася, під назвою TeleApp, була доступна протягом 8,5 років, востаннє оновлювалась 13 грудня 2013 року, а 14 червня 2022 року, коли її було видалено, було виявлено шкідливе програмне забезпечення.
Часто радять перевіряти оцінки користувачів, щоб визначити, чи програма або розширення є шкідливими, але дослідники виявили, що це не допомагає у випадку SNE.
«Загалом користувачі не дають нижчі оцінки SNE. Це свідчить про те, що користувачі можуть не знати, що такі розширення небезпечні. Звичайно, також можливо, що боти дають фальшиві відгуки та високі оцінки цим розширенням. Однак, враховуючи, що половина SNE не має відгуків, здається, що використання фальшивих відгуків у цьому випадку не є широко поширеним», – пишуть автори.
У Google кажуть, що спеціальна команда безпеки надає користувачам персоналізований підсумок встановлених розширень, переглядає розширення перед їх публікацією в магазині та постійно контролює їх після публікації.
Дослідники припускають, що Google також стежить за розширеннями на предмет схожості коду.
«Наприклад, приблизно 1000 розширень використовують проєкт Extensionizr із відкритим вихідним кодом, 65–80% з яких все ще використовують версії бібліотек за замовчуванням і вразливі версії бібліотек, які спочатку були запаковані разом з інструментом 6 років тому», – йдеться у звіті.
Також експерти відзначили відсутність технічного обслуговування, через що розширення залишаються в магазині ще довго після виявлення вразливостей.
Нагадаємо, раніше дослідники безпеки випустили PoC-експлойт для вразливості максимального ступеня серйозності у рішенні для управління інформацією та подіями безпеки (SIEM) Fortinet.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
