Δύο νέες εκθέσεις αποκαλύπτουν δύο εντελώς διαφορετικές απόψεις σχετικά με την ασφάλεια των επεκτάσεων του Google Chrome.
Η Google λέει ότι λιγότερο από 1% όλων των εγκαταστάσεων περιλαμβάνουν κακόβουλο λογισμικό, ενώ ερευνητές πανεπιστημίου αναφέρουν ότι 280 εκατομμύρια χρήστες έχουν εγκαταστήσει επεκτάσεις με κακόβουλο λογισμικό σε διάστημα τριών ετών.
Σύμφωνα με την Google, περισσότερες από 250.000 επεκτάσεις είναι διαθέσιμες στο web store του Chrome. Η Google λέει επίσης ότι «λιγότερο από 1% όλων των εγκαταστάσεων από το Chrome Web Store βρέθηκε να περιλαμβάνει κακόβουλο λογισμικό».
Ένα πρόσφατο άρθρο ερευνητών του Πανεπιστημίου Stanford και του Κέντρου Helmholtz CISPA για την Ασφάλεια Πληροφοριών επισημαίνει την ανησυχητική επικράτηση επεκτάσεων περιήγησης με αξιοσημείωτα προβλήματα ασφαλείας για το Chrome. Σύμφωνα με τη μελέτη, πάνω από 346 εκατομμύρια χρήστες εγκατέστησαν τέτοιου είδους επεκτάσεις μεταξύ Ιουλίου 2020 και Φεβρουαρίου 2023. Ακόμα και αν αφαιρέσουμε 63 εκατομμύρια παραβιάσεις πολιτικής και τρία εκατομμύρια με ευάλωτο κώδικα, οι ερευνητές εκτιμούν ότι υπήρξαν ακόμα 280 εκατομμύρια εγκαταστάσεις επεκτάσεων Chrome που περιείχαν κακόβουλο λογισμικό.
Chrome: Τι λένε οι Ερευνητές για τις επεκτάσεις περιήγησης με προβλήματα ασφαλείας
Οι ερευνητές Sheryl Hsu, Manda Tran και Aurore Fass δημοσίευσαν την εργασία τους στις 18 Ιουνίου. Είναι σημαντικό να σημειωθεί ότι η μελέτη αφορά σε παραβιάσεις της πολιτικής του web store της Google και σε ευάλωτο κώδικα, μαζί με επεκτάσεις που περιέχουν κακόβουλο λογισμικό στον ορισμό των SNE (Security-Noteworthy Extensions – Επεκτάσεις με Αξιοσημείωτα Προβλήματα Ασφαλείας).
Οι επεκτάσεις απαιτούν συχνά προηγμένα δικαιώματα που μπορούν να επηρεάσουν την ιδιωτικότητα και την ασφάλεια του χρήστη, και αυτά τα ζητούμενα δικαιώματα καθορίζουν την επιφάνεια επίθεσης για οποιαδήποτε κακόβουλη επέκταση.
Η μελέτη αναφέρει ότι «Συλλέξαμε δικαιώματα αναλύοντας το αρχείο manifest.json κάθε επέκτασης», με τα δικαιώματα Manifest V3 να χωρίζονται σε «δικαιώματα (API όπως αποθήκευση ή cookies) και δικαιώματα κεντρικού υπολογιστή (διευθύνσεις URL ή μοτίβα URL προς τις οποίες μια επέκταση θέλει να στείλει αιτήματα)», με και τα δύο συνδυασμένα στην προηγούμενη έκδοση Manifest V2.
Σύμφωνα με την μελέτη, η συλλογή δικαιωμάτων έγινε με την ανάλυση του αρχείου manifest.json κάθε επέκτασης. Τα δικαιώματα manifest V3 διαχωρίζονται σε «δικαιώματα (API όπως αποθήκευση ή cookies) και δικαιώματα κεντρικού υπολογιστή (διευθύνσεις URL ή μοτίβα URL προς τα οποία μια επέκταση θέλει να υποβάλει αιτήματα)» και τα δύο συνδυασμένα στην προηγούμενη έκδοση manifest V2. Με απλά λόγια, η μελέτη χρησιμοποίησε μια λεπτομερή ανάλυση των αρχείων manifest για να κατανοήσει πώς οι επεκτάσεις του Chrome λαμβάνουν και χρησιμοποιούν τα δικαιώματά τους.
Δεν αποτελεί έκπληξη το ότι οι ερευνητές διαπίστωσαν πως οι ύποπτες επεκτάσεις τείνουν να ζητούν περισσότερα δικαιώματα πρόσβασης συγκριτικά με τις αξιόπιστες. Η μελέτη κατέληξε στο συμπέρασμα πως «Όσο περισσότερα δικαιώματα έχει μια επέκταση, τόσο μεγαλύτερη είναι η επιφάνεια επίθεσης».
Ανησυχητικό είναι επίσης το γεγονός ότι η μελέτη διαπίστωσε ότι οι επεκτάσεις που περιείχαν κακόβουλο λογισμικό ήταν διαθέσιμες από το Chrome web store για κατά μέσο όρο 380 ημέρες. Μία επέκταση, σύμφωνα με τη μελέτη, παρέμεινε διαθέσιμη από τον Δεκέμβριο του 2013 έως τον Ιούνιο του 2022, όταν διαπιστώθηκε ότι περιείχε κακόβουλο λογισμικό και αφαιρέθηκε.
Τι λέει η Google για την Ασφάλεια με τις Επεκτάσεις Chrome
Μια ανάρτηση στο Google Security Blog στις 20 Ιουνίου, μόλις 48 ώρες μετά τη δημοσίευση της μελέτης των ερευνητών, από τους Benjamin Ackerman, Anunoy Ghosh και David Warren από την ομάδα ασφαλείας του Chrome, παραδέχεται ότι «όπως και με οποιοδήποτε λογισμικό, οι επεκτάσεις μπορούν επίσης να εισάγουν κινδύνους». Ωστόσο, παρουσιάζει επίσης τον τρόπο με τον οποίο μια εξειδικευμένη ομάδα ασφαλείας είναι αφιερωμένη στη διατήρηση της ασφάλειας των χρηστών του Chrome όσον αφορά τις επεκτάσεις.
Η Google δήλωσε ότι αυτή η ομάδα παρέχει στους χρήστες μια εξατομικευμένη περίληψη των εγκατεστημένων επεκτάσεων, ελέγχει όλες τις επεκτάσεις πριν δημοσιευθούν στο Chrome web store και τις παρακολουθεί στη συνέχεια.
Ένα παράδειγμα αυτής της δράσης είναι ένας πίνακας ελέγχου ασφαλείας στο επάνω μέρος της σελίδας επεκτάσεων που ειδοποιεί τους χρήστες για τυχόν εγκατεστημένες επεκτάσεις που μπορεί να ενέχουν κίνδυνο. Η Google δήλωσε ότι «εάν δεν βλέπετε πίνακα ελέγχου προειδοποίησης, πιθανότατα δεν έχετε καμία επέκταση για την οποία πρέπει να ανησυχείτε» αν και η μελέτη του Stanford ανοίγει μάλλον μεγάλη συζήτηση για αυτή τη δήλωση.
Παρόλα αυτά, η αυτοματοποιημένη διαδικασία της Google που χρησιμοποιεί συστήματα μηχανικής μάθησης εξετάζει όλες τις επεκτάσεις που θέλουν να δημοσιευτούν στο web store και, στη συνέχεια, μια ανθρώπινη αξιολόγηση εξετάζει τις εικόνες, τις περιγραφές και τις δημόσιες πολιτικές κάθε επέκτασης. «Αυτή η διαδικασία αξιολόγησης απομακρύνει την συντριπτική πλειοψηφία των κακών επεκτάσεων πριν καν δημοσιευτούν», δήλωσε η Google, «το 2024, λιγότερο από 1% όλων των εγκαταστάσεων από το Chrome Web Store βρέθηκε να περιλαμβάνει κακόβουλο λογισμικό. Είμαστε περήφανοι για αυτό το ρεκόρ και όμως κάποιες κακές επεκτάσεις εξακολουθούν να περνούν, γι’ αυτό παρακολουθούμε επίσης τις δημοσιευμένες επεκτάσεις»
Τέσσερις συμβουλές για να βεβαιωθείτε ότι οι επεκτάσεις Chrome είναι ασφαλείς
Η Google συνιστά στους χρήστες του Chrome να κάνουν τέσσερα πράγματα για να ελαχιστοποιήσουν τον κίνδυνο κακόβουλων επεκτάσεων:
- Ελέγξτε τις νέες επεκτάσεις πριν τις εγκαταστήσετε – διαβάστε τις πληροφορίες σχετικά με την επέκταση και τον προγραμματιστή πριν από την εγκατάσταση.
- Απεγκαταστήστε τις επεκτάσεις που δεν χρησιμοποιείτε πλέον.
- Περιορίστε τους ιστότοπους στους οποίους μια επέκταση έχει δικαιώματα να λειτουργεί.
- Ενεργοποιήστε τη λειτουργία Επαυξημένης Προστασίας της δυνατότητας Ασφαλούς Περιήγησης του Chrome – αυτή η λειτουργία σας παρέχει προστασία από phishing και κακόβουλο λογισμικό, καθώς και λειτουργίες που σας προστατεύουν από δυνητικά επικίνδυνες επεκτάσεις.