The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

31% дополнений к Chrome используют библиотеки с известными уязвимостями

22.02.2019 12:45

Разработчики сервиса для проверки безопасности браузерных дополнений CRXcavator опубликовали результаты анализа рисков при использовании дополнений, представленных в каталоге Chrome Web Store. В ходе исследования было изучены полномочия более 120 тысяч дополнений для Chrome. В итоге было выяснено, что:

  • 31.8% дополнений используют сторонние библиотеки, в которых имеются известные уязвимости.
  • 35.4% дополнений запрашивают полномочия, позволяющие полностью получить доступ к данным пользователя на любых сайтах.
  • 15% применяют уязвимые библиотеки и имеют полномочия для доступа к пользовательским данным на сайтах.
  • 9% дополнений имеют полномочия для чтения всех Cookie пользователя;
  • 77.3% дополнений не имеют собственного сайта.
  • 84.7% дополнений не определяют правила обработки конфиденциальных данных.
  • 78.3% не определяют CSP (Content Security Policies).
  • 99% не ограничивают источник загружаемых данных (default-src и connect-src) через CSP.


  1. Главная ссылка к новости (https://duo.com/blog/crxcavato...)
  2. OpenNews: В четырёх популярных дополнениях к Chrome выявлен вредоносный код
  3. OpenNews: Google запретил размещение дополнений к Chrome c кодом для майнинга криптовалют
  4. OpenNews: Google внедряет меры для противодействия вредоносным дополнениям к Chrome
  5. OpenNews: В Chrome-дополнении MEGA выявлен вредоносный код для кражи паролей
  6. OpenNews: Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8.7 млн пользователей
Лицензия: CC-BY
Тип: Обобщение
Ключевые слова: chrome
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Ilya Indigo (ok), 12:51, 22/02/2019 [ответить] [показать ветку] [···]    [к модератору]
  • –3 +/
    https://crxcavator.io/report/cjpalhdlnbpafiamejdnhcphjbkeiagm/1.18.4
    Некоторым дополнением это действительно нужно для работы.
     
     
  • 2.16, Аноним (16), 15:46, 22/02/2019 [^] [ответить]    [к модератору]
  • +11 +/
    А я напомню историю с модерацией Google. Которые не трогал фальшивые копии AdBlock Plus с измененными 1-2мя буквами в названии на манер китайских подделок. Но когда появился форк AdBlock Plus, который не только скрывал рекламу. Этот форк кликал на рекламные блоки автоматически, чтобы испортить статистику рекламодателям. Вот тогда Google буквально моментально вспомнил, что он оказывается еще и модерирует свой Store и удалил расширение. Вот это чудо https://addons.mozilla.org/ru/firefox/addon/adnauseam/
     
     
  • 3.25, Аноним (25), 17:46, 22/02/2019 [^] [ответить]    [к модератору]
  • +2 +/
    Ага, удалил только это расширение. А тем временем, в сторе полным-полно клонов адблока на любой вкус и цвет. Так что про модерацию - это громко сказано. Помойка еще та.
     
     
  • 4.38, freehck (ok), 11:56, 23/02/2019 [^] [ответить]     [к модератору]
  • +/
    Вы ничего не понимаете Гугель -- это корпорация ДОБРА Это же всем известно Да... весь текст скрыт [показать]
     
  • 3.40, выфвы (?), 14:41, 23/02/2019 [^] [ответить]    [к модератору]  
  • +/
    ради того чтобы напакостить кому то жрать проц?
     
  • 1.2, Аноним (2), 12:57, 22/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +16 +/
    И 95% просто мутный мусор.
     
     
  • 2.23, Аноним (23), 17:03, 22/02/2019 [^] [ответить]     [к модератору]  
  • –2 +/
    Ну а что тут странного У разработчика должна мотивация поддерживать разработку... весь текст скрыт [показать]
     
     
  • 3.31, Аноним (31), 19:37, 22/02/2019 [^] [ответить]     [к модератору]  
  • –3 +/
    Ты вообще лопочешь не о том Речь не о деньгах, а о самой сути дополнений - я их... весь текст скрыт [показать]
     
     
  • 4.34, Аноним (34), 00:32, 23/02/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    Попробуй найти себе более полезное занятие кроме как листать бесконечные списки ... весь текст скрыт [показать]
     
     
  • 5.36, Аноним (2), 01:50, 23/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Типичный летчик над гнездом кукушки^W^W^W^W писатель опеннеета, хрен еще пойми о чем и зачем он спорит.
     
  • 1.3, Аноним (3), 13:12, 22/02/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    Надо было немного в другом порядке Дуракам закон не писан Если писан, то не чит... весь текст скрыт [показать]
     
  • 1.7, Аноним (7), 13:52, 22/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну конечно модерация это не по рангу гуглу. Создание свалок мусора в этом весь гугл.
     
     
  • 2.20, Аноним84701 (ok), 16:04, 22/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Если вы сомневаетесь в правильном понимании слова Store в названии гугло-свал ... весь текст скрыт [показать]
     
  • 2.35, rshadow (ok), 01:06, 23/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Любой соседний магазин продуктов это свалка. Есть модерация государством. Есть отзывы пользователей. И все равно можно химии всякой нажраться очень просто. Ничего нового...
     
  • 1.14, Аноним (14), 14:51, 22/02/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    84 7 дополнений не определяют правила обработки конфиденциальных данных 78 3 ... весь текст скрыт [показать]
     
  • 1.18, robot228 (?), 15:54, 22/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Хуже всего что есть такие вне каталога. Например фиговое Passter Lite, афтар там ещё и домен профукал недавно. Несерьёзный человеГ вопщемта.
     
  • 1.21, Аноним (21), 16:35, 22/02/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    А зачем дополнениям CSP Что там у них происходит внутри, что вот это вот нужно ... весь текст скрыт [показать]
     
     
  • 2.39, Аноним (39), 14:09, 23/02/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    Если бы речь шла о страничках с котиками и форумах с троллями то конечно проблем... весь текст скрыт [показать]
     
  • 1.27, Аноним (27), 18:36, 22/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А почему у операционной системы для телефонов от Гугла нет файрвола, это так сложно?
     
     
  • 2.28, OpenEcho (?), 18:53, 22/02/2019 [^] [ответить]    [к модератору]  
  • +/
    На рутовых - есть, для не рутовых - No root firewall (создает локальный прокси на телефоне и режет что сказано)
     
  • 1.30, Аноним (31), 19:33, 22/02/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Вот уж чего точно НЕ нужно 99 -ам дополнений Какие-то туnоpылые курсы валют , ... весь текст скрыт [показать]
     
  • 1.32, Аноним (32), 21:11, 22/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >You need to enable JavaScript to run this app.

    И сразу же туда, куда вы подумали.

     
  • 1.37, Аноним34 (?), 10:47, 23/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    да, а что скажете про ето дополнение безопасно ли оно Polyfono. Beyond Web Audio?
     
  • 1.42, глш (?), 20:36, 27/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А как c NPAPI плагинами то боролись? Целая пропагандистская компания была про небезопасность, чтобы их вырезать из фуррифокса и хромого. А здесь, хоть криптовалюту в браузере майни безнаказанно.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor