网络安全企业Duo Security发布CRXcavator服务测试版,可用来检验Chrome扩展程序的安全风险,同时公布一份扩展程序分析报告,指出有84.7%的Chrome扩展程序缺乏隐私政策,并有31.8%使用了含有已知安全漏洞的第三方函数库。
Duo Security指出,微软从1997年10月发布的IE 4浏览器,奠定了以扩展程序来强化浏览器功能的基础,而今,作为网络入口的浏览器已成为最主要的攻击表面,Google的Chrome浏览器更占据了全球6成以上的市场占有率,汇聚了超过18万种的扩展程序,使得他们决定探究Chrome扩展程序的安全性,发展CRXcavator服务,扫描Chrome Web Store上的扩展程序并进行分析。
研究发现,Chrome Web Store上除了有恶意的扩展程序之外,也有一些合法或良性的扩展程序具备了可能遭受攻击的Javascript,或者是采用了含有漏洞的第三方函数库,也有些是用户赋给了扩展程序过多的权限,还有些扩展程序虽然通过了企业的审核,随后的改版却带来了漏洞或恶意功能。
目前Chrome Web Store上供应了超过18万种品项,包括扩展程序、主题及Chrome App,Duo Security仅针对其中约12万款的扩展程序与Chrome App展开分析。发现其中有84.7%(10.2万个)扩展程序缺乏隐私政策,77.3%(9.3万个)没有列出支持网站,更有31.8%(3.8万个)采用了含有已知漏洞的第三方函数库。
用户或企业也可在CRXcavator网站上,输入常用的扩展程序以查看它们的风险评分,例如有淘宝国际版之称的“全球速卖通”(AliExpress)的风险评分高达479,主要是源自于它有283个JavaScript文件的外部调用,获取太多不明许可,以及所使用的RetireJS有两个安全漏洞等。