Треть всех расширений для Google Chrome – небезопасны

Опубликовано at 17:15
40 0

Специалисты по кибербезопасности из Duo Labs (входит в состав Cisco) проанализировали более чем 120 тысяч плагинов, представленных в Интернет-магазине Chrome, и выяснили, что треть из них используют уязвимые сторонние библиотеки.

Как заявили аналитики, большинство дополнений к браузеру Google не соответствуют стандартам Политики безопасности контента (CSP), разработанным для предотвращения межсайтового скриптинга и других способов внедрения стороннего кода.

Параметры, по которым определялась безопасность исследованных расширений:

  • К каким сайтам каждый из плагинов обращается с внешними запросами.
  • Содержат ли уязвимости внешние JavaScript-библиотеки, которые использует дополнение.
  • Какие домены указаны в CSP приложения и являются ли они надежными по мнению ресурсов VirusTotal, ThreatExchange и SSL Labs.
  • Есть ли в программе потенциально опасные функции, которые могут служить точкой входа для киберпреступников.
  • Указана ли в расширении информация о службе поддержки и ссылка на политику конфиденциальности.

В итоге анализ показал, что больше, чем 35% программ в Интернет-магазине Chrome имеют доступ к данным пользователя на посещаемых пользователем сайтах. В 15% всех расширений применяются уязвимые библиотеки. Таким образом, более 18 тыс. легитимных плагинов потенциально представляют опасность для пользователей.

Если обращаться к менее важным вещам, то почти 85% приложений и расширений не имеют ссылки на политику конфиденциальности, а еще 77% не разместили в программе адрес страницы службы поддержки. Из 95 тыс. плагинов более 78% не имеют Политики безопасности контента (CSP), но даже те из них, у кого она присутствует, не задают в ней список доверенных внешних источников.

Существует также вполне реальная угроза «угона» расширений и загрузки в репозиторий их вредоносных версий.

Буквально накануне АКБ сообщало, что эксперты по кибербезопасности из компании EdgeSpot обнаружили ранее не описанную уязвимость нулевого дня в браузере Chrome. Патча для проблемы пока не существует, и специалисты в качестве элементарной защитной меры рекомендуют пользователям временно не открывать файлы PDF в браузере.

Подписываемся, следим @CyberAgency

Related Post

Германия узаконила электронные браслеты

Опубликовано - 03.02.2017 0
Правительство ФРГ узаконило применение электронных браслетов против лиц, подозреваемых в терроризме, — сообщает немецкая телерадиокомпания Deutsche  Welle.Эта мера должна облегчить…

Добавить комментарий