The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

31% дополнений к Chrome используют библиотеки с известными уязвимостями

22.02.2019 12:45

Разработчики сервиса для проверки безопасности браузерных дополнений CRXcavator опубликовали результаты анализа рисков при использовании дополнений, представленных в каталоге Chrome Web Store. В ходе исследования было изучены полномочия более 120 тысяч дополнений для Chrome. В итоге было выяснено, что:

  • 31.8% дополнений используют сторонние библиотеки, в которых имеются известные уязвимости.
  • 35.4% дополнений запрашивают полномочия, позволяющие полностью получить доступ к данным пользователя на любых сайтах.
  • 15% применяют уязвимые библиотеки и имеют полномочия для доступа к пользовательским данным на сайтах.
  • 9% дополнений имеют полномочия для чтения всех Cookie пользователя;
  • 77.3% дополнений не имеют собственного сайта.
  • 84.7% дополнений не определяют правила обработки конфиденциальных данных.
  • 78.3% не определяют CSP (Content Security Policies).
  • 99% не ограничивают источник загружаемых данных (default-src и connect-src) через CSP.


  1. Главная ссылка к новости (https://duo.com/blog/crxcavato...)
  2. OpenNews: В четырёх популярных дополнениях к Chrome выявлен вредоносный код
  3. OpenNews: Google запретил размещение дополнений к Chrome c кодом для майнинга криптовалют
  4. OpenNews: Google внедряет меры для противодействия вредоносным дополнениям к Chrome
  5. OpenNews: В Chrome-дополнении MEGA выявлен вредоносный код для кражи паролей
  6. OpenNews: Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8.7 млн пользователей
Лицензия: CC-BY
Тип: Обобщение
Ключевые слова: chrome
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (24) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Ilya Indigo (ok), 12:51, 22/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    https://crxcavator.io/report/cjpalhdlnbpafiamejdnhcphjbkeiagm/1.18.4
    Некоторым дополнением это действительно нужно для работы.
     
     
  • 2.16, Аноним (16), 15:46, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +11 +/
    А я напомню историю с модерацией Google. Которые не трогал фальшивые копии AdBlock Plus с измененными 1-2мя буквами в названии на манер китайских подделок. Но когда появился форк AdBlock Plus, который не только скрывал рекламу. Этот форк кликал на рекламные блоки автоматически, чтобы испортить статистику рекламодателям. Вот тогда Google буквально моментально вспомнил, что он оказывается еще и модерирует свой Store и удалил расширение. Вот это чудо https://addons.mozilla.org/ru/firefox/addon/adnauseam/
     
     
  • 3.25, Аноним (25), 17:46, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ага, удалил только это расширение. А тем временем, в сторе полным-полно клонов адблока на любой вкус и цвет. Так что про модерацию - это громко сказано. Помойка еще та.
     
     
  • 4.38, freehck (ok), 11:56, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы ничего не понимаете. Гугель -- это корпорация ДОБРА! Это же всем известно!
    Давайте пользоваться только сервисами от Гугеля. Они ведь САМЫЕ надёжные, САМЫЕ правильные, САМЫЕ безопасные, САМЫЕ-САМЫЕ за свободу ПО и всё такое! =)
     
  • 3.40, выфвы (?), 14:41, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ради того чтобы напакостить кому то жрать проц?
     

  • 1.2, Аноним (2), 12:57, 22/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    И 95% просто мутный мусор.
     
     
  • 2.23, Аноним (23), 17:03, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну а что тут странного ? У разработчика должна мотивация поддерживать разработку.
    Юзвери хотят все эти дополнения бесплатно (под каждым платным дополнением комменты в стиле "а почему за деньги?") хотя в тех же эплсторах и плеймаркетах платить вроде уже как привыкли, а тут подавай все бесплатно, вот и получается мусор.
    Гугл кстати даже на собственной странице дополнения (страница настроек например, не путать с инжектом рекламы во) запрещает использовать adsense. А потом создают "сенсации", когда очередной разраб продает права на свое дополнение и там появляются зонды.

    Хотите качества и уверенности в отсутствии зондов - пользуйтесь опенсорсными дополнениями.

     
     
  • 3.31, Аноним (31), 19:37, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ты вообще лопочешь не о том! Речь не о деньгах, а о самой сути дополнений - я их ДЕСЯТКАМИ пролистываю и хоть бы одно было полезным! Вот зачем создавать этот шлак? Неужели без этого архиважного дополнения "курсы валют" нельзя жить? Или всякие калькуляторы, редакторы, прогнозы погоды... Всё это - отстой и должно выкидываться из каталога, если не набирает хотя бы тысячи голосов поддержки.
     
     
  • 4.34, Аноним (34), 00:32, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Попробуй найти себе более полезное занятие кроме как листать бесконечные списки дополнений.
    Примеров того же СПО тоже тысячи различных програм, то что они не нужны тебе не значит что они не нужны другим.
    Вообще непонятен твой баттхерт на ровном месте - нормальный человек видит проблему -> идет в стор -> находит нужное дополнение для себя -> использует его
    Какая тебе разница сколько там этих дополнений, переживаешь о том что гугл хранит это на своих серверах или что?
     
     
  • 5.36, Аноним (2), 01:50, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Типичный летчик над гнездом кукушки^W^W^W^W писатель опеннеета, хрен еще пойми о чем и зачем он спорит.
     

  • 1.3, Аноним (3), 13:12, 22/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Надо было немного в другом порядке:
    Дуракам закон не писан
    >78.3% не определяют CSP (Content Security Policies).

    Если писан, то не читан
    >84.7% дополнений не определяют правила обработки конфиденциальных данных.

    Если читан, то не понят
    >99% не ограничивают источник загружаемых данных (default-src и connect-src) через CSP.

    Если понят, то не так

     
  • 1.7, Аноним (7), 13:52, 22/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну конечно модерация это не по рангу гуглу. Создание свалок мусора в этом весь гугл.
     
     
  • 2.20, Аноним84701 (ok), 16:04, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну конечно модерация это не по рангу гуглу. Создание свалок мусора в этом весь гугл.

    Если вы сомневаетесь в правильном понимании слова "Store" в названии гугло-свал^W магазина "Chrome Web Store", то:
    https://developer.chrome.com/webstore/money
    [code]
    In-app payments
    One-time charge
    Subscription
    Offering a limited trial version of your item
    [/code]
    (если что, Гуглу скромный такой процентик перепадает).
    Как говаривал кто-то из древних анонимов в не менее древних форумах:
    "Aes non olet - деньги не пахнут".

     
  • 2.35, rshadow (ok), 01:06, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Любой соседний магазин продуктов это свалка. Есть модерация государством. Есть отзывы пользователей. И все равно можно химии всякой нажраться очень просто. Ничего нового...
     

  • 1.14, Аноним (14), 14:51, 22/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > 77.3% дополнений не имеют собственного сайта.

    84.7% дополнений не определяют правила обработки конфиденциальных данных.
    78.3% не определяют CSP (Content Security Policies).
    99% не ограничивают источник загружаемых данных (default-src и connect-src) через CSP.

    Ну а чего вы ждали от ШИРПОТРЕБА?

     
  • 1.18, robot228 (?), 15:54, 22/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хуже всего что есть такие вне каталога. Например фиговое Passter Lite, афтар там ещё и домен профукал недавно. Несерьёзный человеГ вопщемта.
     
  • 1.21, Аноним (21), 16:35, 22/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А зачем дополнениям CSP? Что там у них происходит внутри, что вот это вот нужно?

    Что значит «позволяющие полностью получить доступ к данным пользователя на любых сайтах»? Могут читать и/или модифицировать страничку? А если их для этого и ставят?

     
     
  • 2.39, Аноним (39), 14:09, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Могут читать и/или модифицировать страничку? А если их для этого и ставят?

    Если бы речь шла о страничках с котиками и форумах с троллями то конечно проблем нет. Но Вам вряд ли понравится осознавать факт того, что данные Вашей кредитки в любой момент могут быть слиты третьим лицам. И Вам будет даже не на кого подать в суд по этому поводу.

     

  • 1.27, Аноним (27), 18:36, 22/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А почему у операционной системы для телефонов от Гугла нет файрвола, это так сложно?
     
     
  • 2.28, OpenEcho (?), 18:53, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    На рутовых - есть, для не рутовых - No root firewall (создает локальный прокси на телефоне и режет что сказано)
     

  • 1.30, Аноним (31), 19:33, 22/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > ...получить доступ к данным пользователя на любых сайтах.

    Вот уж чего точно НЕ нужно 99%-ам дополнений! Какие-то туnоpылые "курсы валют", а запрашивают права чуть ли не как банковский клиент!

    Браузеры уже давно перешли ту черту, когда "всё было можно" - уже давно пора завинчивать гайки.

     
  • 1.32, Аноним (32), 21:11, 22/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >You need to enable JavaScript to run this app.

    И сразу же туда, куда вы подумали.

     
  • 1.37, Аноним34 (?), 10:47, 23/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    да, а что скажете про ето дополнение безопасно ли оно Polyfono. Beyond Web Audio?
     
  • 1.42, глш (?), 20:36, 27/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как c NPAPI плагинами то боролись? Целая пропагандистская компания была про небезопасность, чтобы их вырезать из фуррифокса и хромого. А здесь, хоть криптовалюту в браузере майни безнаказанно.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру