Un tiers de toutes les extensions Chrome demandent l'accès aux données utilisateur sur n'importe quel site

  • Sep 04, 2023

Quatre-vingt-cinq pour cent de toutes les extensions Chrome n'ont pas de politique de confidentialité.

Plus d'un tiers de toutes les extensions Google Chrome demandent aux utilisateurs l'autorisation d'accéder et de lire toutes leurs données sur n'importe quel site Web, a révélé une récente enquête portant sur plus de 120 000 extensions Chrome.

Sécurité

  • 8 habitudes des travailleurs à distance hautement sécurisés
  • Comment trouver et supprimer les logiciels espions de votre téléphone
  • Les meilleurs services VPN: comment se comparent les 5 meilleurs?
  • Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite

La même enquête a également révélé qu'environ 85 % des 120 000 extensions Chrome répertoriées sur le Chrome Web Store n'ont pas de politique de confidentialité répertoriée, ce qui signifie qu'il n'existe aucun document juridiquement contraignant décrivant comment les développeurs d'extensions s'engagent à gérer les utilisateurs. données.

Les résultats supplémentaires de l'enquête incluent le fait que 77 % des extensions Chrome testées ne répertoriaient pas de site d'assistance et que 32 % utilisaient du JavaScript tiers. bibliothèques contenant des vulnérabilités connues du public, et neuf pour cent pouvaient accéder et lire des fichiers cookies, dont certains sont utilisés pour l'authentification opérations.

Cette gigantesque enquête a été réalisée le mois dernier par l'équipe de recherche de la société américaine de cybersécurité Duo Labs, à l'aide d'un nouveau service web qu'ils ont développé et baptisé CRXcavator.

Les chercheurs ont scanné l'intégralité du Chrome Web Store et analysé le code source et les listes Web Store de 120 463 extensions et applications Chrome.

Ils ont examiné quelles autorisations les extensions demandaient aux utilisateurs, avec quels domaines externes les extensions communiquaient, si les extensions étaient vulnérables. bibliothèques, si elles ont accédé aux données OAuth2, vérifié les en-têtes de la politique de sécurité du contenu (CSP) et si l'extension a répertorié des informations sur sa politique de confidentialité ou auteur.

Les résultats de cette étude sont disponibles aujourd'hui sur le Portail Web CRXcavator, où les utilisateurs peuvent consulter les rapports de sécurité sur leur extension préférée, ou soumettre un identifiant d'extension et le faire analyser si les chercheurs de Duo l'ont manqué lors de leur analyse du Web Store.

Mais Duo Labs n'a pas analysé toutes les extensions Chrome sans aucun but. La société a également publié aujourd'hui le Extension Chrome CRXcavator Gatherer.

Cette extension a été développée pour une utilisation en entreprise. Les administrateurs système peuvent installer l'extension sur les PC des employés de l'entreprise, et l'extension collectera des informations sur les extensions des employés. avaient chacun installé sur leurs systèmes, puis envoyer ces données à un compte CRXcavator que les administrateurs système ont créé à l'avance sur le CRXcavator portail.

Les administrateurs système peuvent examiner le score de risque CRXcavator de chaque extension que les utilisateurs ont installée sur leurs systèmes et autoriser ou interdire l'extension au sein de leurs réseaux avec des politiques à l'échelle du réseau.

"Cela permet aux organisations de savoir exactement quelles extensions sont utilisées, qui les utilise et quel est le risque que représentent les extensions de leurs utilisateurs pour l'organisation", ont déclaré les chercheurs de Duo Labs. dit dans un communiqué de presse aujourd'hui.

Mais l'extension CRXcavator Gatherer peut également être utilisée pour permettre aux employés de demander l'autorisation avant d'installer une nouvelle extension Chrome. Tout ce que les employés ont à faire est d'appuyer sur un bouton et de saisir la raison pour laquelle ils doivent installer la nouvelle extension.

Les administrateurs système reçoivent cette demande d'installation dans le tableau de bord de leur compte CRXcavator, peuvent vérifier le score de risque CRXcavator de l'extension et autoriser son installation au sein de leur réseau.

La nécessité de contrôler les extensions utilisées par les employés est un facteur croissant pour les entreprises modernes. Avec une part de marché de plus de 60 %, Chrome constitue une énorme surface d’attaque que les groupes criminels ont tendance à exploiter.

Les groupes criminels sont connus pour acheter des extensions à des développeurs qui ont perdu tout intérêt à les maintenir et pour lancer des extensions. attaques de spear phishing dans l'espoir de détourner le compte d'un développeur d'extension afin de pouvoir diffuser du code malveillant.

De nos jours, qu'elles soient petites ou grandes, les entreprises doivent garder un œil sur les extensions Chrome, car il y a toujours le risque qu'une d'entre elles soit utilisée pour espionnage industriel ou fraude.

Image: Laboratoires Duo

Tous les navigateurs basés sur Chromium

Plus de couverture du navigateur:

  • Google revient sur les modifications de Chrome qui auraient paralysé les bloqueurs de publicités
  • Google Chrome 73 pour prendre officiellement en charge les touches multimédia de votre clavier
  • Microsoft Edge permet à Facebook d'exécuter du code Flash dans le dos des utilisateurs
  • Google mène une expérience de mise à jour automatique vers HTTPS dans Chrome
  • L'extension Windows 10 Timeline Chrome vient d'arriver chez Microsoft
  • Google travaille sur une nouvelle fonctionnalité de sécurité de Chrome pour « effacer DOM XSS »
  • Ce que les entreprises doivent savoir sur le nouveau Edge basé sur Chromium TechRépublique
  • Brave, bloqueur de publicités, bénéficie d'un avantage en matière de mémoire par rapport à Chrome sur les sites d'informationCNET