Chrome扩展程序存在安全隐患

最近一项针对12万个Chrome扩展的调查显示，超过三分之一的谷歌Chrome扩展要求用户允许访问和阅读他们在任何网站上的所有数据。同一项调查还发现，Chrome网上商店列出的12万个Chrome扩展中，大约85%没有列出隐私政策，这意味着没有具有法律约束力的文件来描述扩展开发者承诺如何处理用户数据。

其他的调查结果还包括，77%的测试Chrome扩展没有列出支持站点，32%的扩展使用了包含公开漏洞的第三方JavaScript库，9%的扩展可以访问和读取cookie文件，其中一些用于身份验证操作。

这项数据量庞大的调查是由美国网络安全公司Duo 实验室的研究团队在上个月进行的，他们开发了一项名为CRXcavator的新web服务。研究人员扫描了整个Chrome网络商店，分析了120,463个Chrome扩展和应用程序的源代码和网络商店列表。

他们查看了用户请求的权限扩展、扩展与哪些外部域通信；扩展是否使用了易受攻击的库；它们是否访问了OAuth2数据；是否检查了内容安全策略(CSP)头以及扩展是否列出了关于其隐私策略或作者的任何信息。

这项研究的结果可以在CRXcavator网站上找到，用户可以在该网站上查看关于他们最感兴趣的扩展的安全报告，或者提交一个扩展ID，如果Duo的研究人员在他们的web Store分析中遗漏了该扩展，他们可以扫描该扩展ID。

但是Duo实验室并没有毫无目的地扫描所有Chrome扩展。该公司21日还发布了CRXcavator Gatherer Chrome扩展程序。此扩展程序是为企业使用而开发的。系统管理员可以在公司员工的pc端上安装扩展名，扩展名将收集关于员工在各自系统上安装了哪些扩展程序的信息，然后将这些数据发送到系统管理员在CRXcavator门户上预先创建的CRXcavator帐户。

系统管理员可以查看用户在其系统上安装的每个扩展的CRXcavator风险评分，同时允许或禁止其网络内的分机使用网络范围的策略。Duo实验室的研究人员在一份新闻稿中说:“这可以让企业确切地知道正在使用哪些扩展，谁在使用它们，以及用户的扩展给企业带来了多大的风险。”

但CRXcavator采集器扩展也可以作为员工在安装新Chrome扩展之前请求权限的一种方式。所有员工只需按下按钮，输入他们需要安装新扩展的原因。

系统管理员在他们的CRXcavator帐户仪表板中收到安装请求，可以检查扩展的CRXcavator风险评分，并允许在他们的网络中安装。对现代企业来说，引导和控制员工使用各种扩展是一个日益增长的因素。Chrome的市场份额超过60%，是犯罪团伙经常利用的一个巨大的攻击面。

众所周知，犯罪集团会从对维护扩展失去兴趣的开发人员那里购买扩展程序，并发起鱼叉式网络钓鱼攻击，希望劫持扩展开发人员的帐户，从而推送恶意代码。无论程序大小，现在公司都需要关注Chrome的扩展，因为它总是有被用于商业间谍或欺诈的危险。