Почти треть приложений и расширений для Chrome используют уязвимые сторонние библиотеки. К такому выводу пришли специалисты Duo Labs после анализа более чем 120 тыс. плагинов, представленных в Интернет-магазине Chrome.

Как выяснили аналитики, большинство дополнений к браузеру Google не соответствуют стандартам Политики безопасности контента (CSP), разработанным для предотвращения межсайтового скриптинга и других способов внедрения стороннего кода.

Эксперты исследовали представленные в репозитории расширения, в частности их интересовало:

  • К каким сайтам каждый из плагинов обращается с внешними запросами.
  • Содержат ли уязвимости внешние JavaScript-библиотеки, которые использует дополнение.
  • Какие домены указаны в CSP приложения и являются ли они надежными по мнению ресурсов VirusTotal, ThreatExchange и SSL Labs.
  • Есть ли в программе потенциально опасные функции, которые могут служить точкой входа для киберпреступников.
  • Указана ли в расширении информация о службе поддержки и ссылка на политику конфиденциальности.

По результатам анализа выяснилось, что более 35% программ в Интернет-магазине Chrome имеют доступ к данным пользователя на посещаемых пользователем сайтах. При этом в 15% всех расширений применяются уязвимые библиотеки. Таким образом, более 18 тыс. легитимных плагинов потенциально представляют опасность для пользователей.

Как выяснили исследователи, почти 85% приложений и расширений не имеют ссылки на политику конфиденциальности, а еще 77% не разместили в программе адрес страницы службы поддержки. Эксперты подчеркнули, что из 95 тыс. плагинов более 78% не имеют Политики безопасности контента (CSP), но даже те из них, у кого она присутствует, не задают в ней список доверенных внешних источников. Как оказалось, авторы 99% дополнений для Chrome не прописали директивы default-src и connect-src.

Помимо проблем с безопасностью легитимных плагинов, существует вероятность угона расширений и загрузки в репозиторий их вредоносных версий. В прошлом году ИБ-специалисты зафиксировали фишинговую кампанию, нацеленную на авторов дополнений для Chrome. Злоумышленники отправляли создателям приложений письма от имени службы поддержки репозитория со ссылками на фальшивую страницу авторизации Интернет-магазина Chrome. По мнению аналитиков, киберпреступники пытались завладеть логином и паролем разработчиков, чтобы заменить расширение зловредом.

Категории: Аналитика, Главное, Уязвимости