You are currently viewing 研究は、クロム拡張機能がそのユーザーを欺いている方法を明らかにしました / Google

研究は、クロム拡張機能がそのユーザーを欺いている方法を明らかにしました / Google

最近の調査によると、120,000のGoogle Chrome拡張機能の3分の1は、訪問したウェブサイトのデータにアクセスする許可を求めています。

先月、米国に拠点を置くサイバーセキュリティ企業Duo Labsと新しいウェブサービスCRXcavatorが調査を実施しました。その研究 120,463 Chrome の拡張機能とアプリは完全に分析されました。

研究者は、ユーザーのための拡張機能、外部ドメインとの拡張機能の通信、および脆弱なライブラリを使用しているかどうかによってどのような要求が行われているかを発見しました。また、OAuth2 データにアクセスするかどうか、および CSP (コンテンツ セキュリティ ポリシー) ヘッダーを確認するかどうかも記録されました。または、これらの拡張機能によって言及されているプライバシーポリシーまたは作成者が存在します。.

調査によると、拡張機能の約85%にはプライバシーポリシーが定義されておらず、ユーザーのデータをどのように使用するかを法的文書を通じて明らかにしていないことを意味します。

また、読む:

また、Chrome拡張機能の77%がサポートサイトをリストしていないのに対し、共通の脆弱性を持つサードパーティのJavaScriptライブラリは32%の拡張機能によって使用されていると述べている。また、9%がクッキーファイルにアクセスして読み取ります。

デュオラボはまた、企業の使用のためにCRXcavatorギャザークロームエクステンションを発売しました。従業員のコンピュータにインストールすると、システム管理者は従業員がインストールした拡張機能を確認できます。抽出されたデータは CRXcavator ポータルの管理者アカウントに転送されます。システム管理者は、使用されている拡張機能がセキュリティで保護されているかどうかを確認できます。それに基づいて、彼らはネットワーク内でその拡張の使用を許可または中止することができます。

この拡張機能は、使用される他の拡張機能のリスクについて伝えるだけでなく、従業員に制限を課す可能性があり、拡張機能をインストールする前に許可を求める必要があります。

Chromeは主にサイバー犯罪者によって悪用されており、そのため、企業は従業員が使用する拡張機能を制御したいと考えています。時には, 犯罪者は、開発者によってより多くの維持されていない拡張機能を購入します。.その後、悪意のあるコードを配置して、これらの拡張機能をインストールしたユーザーに対するスピアフィッシング攻撃に使用します。

すべての企業は、リスクが高く、オンライン詐欺につながる可能性があるため、従業員が使用している拡張機能を特別に維持する必要があります。

人々は、会社が行った研究の結果を確認することができます.研究者によって分析された拡張に関する情報を共有し、この研究中に研究されていない他のエクステンションを知りたい場合は、拡張IDを提出することもできます。

次を読む: