280 млн. потребители са инсталирали зловредни разширения за Chrome през последните 3 години
Миналата седмица Гугъл заяви, че през тази година е открито, че по-малко от 1% от всички съоръжения от магазина за разширения на Chrome (който сега съдържа над 250 000 разширения) съдържат злотворен програмен продукт. Екип от откриватели от Станфордския университет и Центъра за осведомителна сигурност „ Хелмхолц “ (CISPA) обаче опровергаха това изказване. Те обявиха, че 280 милиона души са конфигурирали инфектирани със злотворен програмен продукт разширения за Chrome за интервал от 3 години.
Екип от CISPA е дал по-подробен разбор на обстановката. Според техния отчет за 3-годишен интервал от юли 2020 до февруари 2023 година към 346 милиона консуматори са конфигурирали разширения за Chrome, обозначени като „ заслужаващи внимание от позиция на сигурността разширения “ (security noteworthy extensions – SNE), които съставляват евентуална опасност.
Въпреки, че 63 милиона от приложенията са били извършители на разпоредбите, 3 милиона са били уязвими – 280 милиона от тези разширения на Chrome са съдържали злотворен програмен продукт.
SNE са разширения, които съдържат злотворен програмен продукт, нарушават политиките на Chrome Web Store или имат уязвим код. Изследователите са открили, че тези рискови разширения могат да останат в магазина за дълъг интервал от време. Например „ най-дълготрайното “ SNE, наречено TeleApp е било налично в магазина в продължение на 8 години и половина преди да бъде дефинитивно отстранено през юни 2022 година.
Изследователите също по този начин откриха, че оценките на потребителите не оказват помощ да се дефинира дали обещано уголемение е злонамерено. В случая на SNE потребителите не са дали ниски оценки, което допуска, че е невероятно да се разпознае дали обещано уголемение е рисково без профилирани знания. Съществува и опцията позитивните рецензии да са дадени от ботове, макар че половината SNE разширения нямат никакви рецензии.
Изследователите също по този начин откриха, че оценките на потребителите не оказват помощ да се дефинира дали обещано уголемение е злонамерено. В случая на SNE потребителите не са дали ниски оценки, което допуска, че е невероятно да се разпознае дали обещано уголемение е рисково без профилирани знания. Съществува и опцията позитивните рецензии да са сложени от ботове, макар че половината от SNE няма никакви рецензии.
От друга страна, Гугъл твърди, че специфичен екип по сигурността дава на потребителите персонализирано резюме на конфигурираните от тях разширения, ревизира ги, преди да бъдат оповестени в магазина и непрестанно следи оповестените разширения.
В отчета обаче се показва, че в противен случай – липсва нужният мониторинг, заради което рискови разширения остават в магазина дълго откакто са открити уязвимости в тях. Изследователите оферират на Гугъл елементарен метод за наблюдаване на разширенията за подобие на кода за разкриване на злотворен програмен продукт, защото множеството от тях се основават на библиотеки с отворен код.
„ Пример: към 1000 разширения употребяват плана с отворен код Extensionizr, като 65-80% от тях към момента употребяват уязвимите версии на библиотеките по дифолт, които в началото бяха включени в пакета на инструмента преди 6 години. “
посочват откривателите
