研究人员发现,尽管谷歌对每个扩展进行了严格的检查,混合了机器学习和人工验证,但该公司在确保扩展安全的目标上却惨遭失败。
jzpyesm
根据该报告,潜在有害和极其危险的扩展(研究人员称之为“安全值得注意的扩展”或 SNE)所代表的风险规模简直令人恐惧。研究显示,在过去三年中,超过 3.46 亿用户安装了至少一个 SNE。在这些安装中,2.8 亿用户下载了包含恶意软件的扩展,6330 万安装了违反 CWS 策略的扩展,290 万用户安装了已知存在漏洞的扩展。
即使我们不考虑违反策略的扩展程序和易 土耳其whatsapp 受攻击的扩展程序,这些扩展程序不一定会对您的 PC 安全构成严重威胁,但仍然有 2.8 亿个充满恶意软件的扩展程序可能会引发一系列威胁,从用恶意广告轰炸用户到隐形跟踪并监视他们,同时可能窃取敏感数据,例如登录凭据。
简而言之,这些数据意味着数以百万计的用户在不经意间将自己暴露在从数据盗窃到隐私泄露的威胁之下,而他们以为自己正在向浏览器添加有用的功能。
危险的扩展程序在 Chrome 商店中保留多年
尤其令人担忧的是,良性扩展程序(那些不会危及您的隐私或安全的扩展程序)往往会比易受攻击的扩展程序在 Chrome 商店中停留的时间更短。研究人员发现,良性扩展的寿命平均为 1,152 天,而易受攻击的扩展的寿命平均达到 1,248 天,超过 3 年。平均而言,包含恶意软件的扩展程序保留时间要少得多,但仍会在 Chrome 应用商店中驻留一年多(380 天)。
至于中位数,良性扩展(780 天)明显低于易受攻击的扩展(1,213 天)。
正如研究人员指出的那样,“这是一个非常有问题的问题,因为这些扩展多年来使用户的安全和隐私面临风险。”
恶意扩展的平均寿命令人担忧,但有些情况更糟。研究人员发现了一个令人震惊的案例:一个名为“TeleApp”的充满恶意软件的扩展程序在 Chrome 网上应用店中停留了令人印象深刻的 8.5 年。 TeleApp 的最后一次更新是在 2013 年 12 月,距今已有 10 多年的历史,它一直在人们的关注之下,直到 2022 年 6 月才最终被删除。
同样令人担忧的是,平均而言,受恶意软件污染的扩展比良性扩展拥有更大的用户群。根据该研究,良性扩展平均拥有 11,000 个用户,而包含恶意软件的扩展则拥有两倍多,即 27,000 个用户。
如何识别不良扩展?
谷歌似乎在评估扩展和删除有问题的扩展方面做得不好。此外,正如研究人员指出的,虽然谷歌工程师“似乎在整个审查过程中寻找包含恶意软件或违反政策的扩展程序”(强调“出现”一词),但他们显然不具备检测易受攻击的工具或程序扩展。
研究人员将易受攻击的扩展定义为代码中包含弱点的扩展,如果被攻击者利用,可能会引发大规模恶意攻击,例如窃取用户数据或将恶意脚本注入到您访问的每个站点中。这意味着大量潜在危险的扩展仍然是谷歌的盲点。
那么,如果谷歌很难删除不良内容,用户自己可以承担这个责任吗?理想情况下,是的。然而,正如研究人员指出的那样,这在实践中是极其困难的,因为至少乍一看,SNE 扩展并没有脱颖而出。