Sicherheitsbedenken bei Chrome Web Store Erweiterungen
Dieses Papier untersucht Risiken und Wartungsprobleme mit Chrome-Erweiterungen.
― 4 min Lesedauer
Inhaltsverzeichnis
- Überblick über den Chrome Web Store
- Der Lebenszyklus von Erweiterungen
- Sicherheitsrelevante Erweiterungen
- Cluster ähnlicher Erweiterungen
- Mangelnde Wartung
- Nutzerbewusstsein
- Sicherheitsrisiken von Erweiterungen
- Die Rolle der Entwickler
- Übergang zu Manifest V3
- Nutzung verletzlicher Bibliotheken
- Fazit
- Originalquelle
- Referenz Links
Der Chrome Web Store (CWS) ist eine Plattform, auf der Nutzer Browser-Erweiterungen für Google Chrome finden und installieren können. Erweiterungen sind kleine Softwareprogramme, die das Surferlebnis verbessern, indem sie Funktionen oder Features hinzufügen. Allerdings sind nicht alle Erweiterungen sicher, und es gibt erhebliche Sicherheitsbedenken hinsichtlich ihrer Nutzung und Wartung.
Überblick über den Chrome Web Store
Der CWS hostet ungefähr 125.000 Erweiterungen, die von über 1,6 Milliarden aktiven Nutzern verwendet werden. Während Erweiterungen nützliche Tools bieten können, bergen sie auch Risiken. Einige sind mit böswilliger Absicht entwickelt, während andere möglicherweise Schwachstellen enthalten, die Angreifer ausnutzen können. In diesem Bericht werden Trends im CWS untersucht und wichtige Sicherheitsprobleme im Zusammenhang mit Browser-Erweiterungen hervorgehoben.
Der Lebenszyklus von Erweiterungen
Die meisten Erweiterungen bleiben nicht lange im CWS. Etwa 60 % von ihnen sind nur ein Jahr lang verfügbar. Diese hohe Fluktuation wirft Bedenken hinsichtlich der Stabilität und Zuverlässigkeit der für Nutzer verfügbaren Erweiterungen auf. Ausserdem werden viele Erweiterungen nicht regelmässig aktualisiert. Mehr als die Hälfte von ihnen wurde seit ihrer Veröffentlichung nie aktualisiert. Dieses Fehlen von Wartung kann zu Sicherheitsrisiken führen.
Sicherheitsrelevante Erweiterungen
Es gibt eine Kategorie von Erweiterungen, die als "Sicherheitsrelevante Erweiterungen" (SNE) bekannt sind. Dazu gehören:
- Erweiterungen, die Malware enthalten, die Nutzerdaten stehlen oder Online-Aktivitäten verfolgen können.
- Erweiterungen, die gegen die CWS-Richtlinien verstossen, was bedeutet, dass sie die Regeln der Plattform nicht befolgen.
- Erweiterungen, die bekannte Schwachstellen haben, die von Angreifern ausgenutzt werden könnten.
SNE stellen ein erhebliches Risiko dar, da sie hunderte Millionen Nutzer betreffen können. Es wurde festgestellt, dass über 346 Millionen Nutzer in den letzten drei Jahren mindestens eine SNE installiert haben.
Cluster ähnlicher Erweiterungen
Viele Erweiterungen teilen sich ähnlichen Code, was Bedenken aufwirft. Wenn Erweiterungen ähnlichen Code haben, kann das bedeuten, dass sie möglicherweise die gleichen Schwachstellen haben. Die Erkennung von Codesimilarität kann helfen, problematische Erweiterungen zu identifizieren. Es ist wichtig, diese Erweiterungen zur weiteren Überprüfung zu kennzeichnen, insbesondere wenn festgestellt wird, dass sie Malware oder Schwachstellen enthalten.
Mangelnde Wartung
Der CWS hat einen besorgniserregenden Mangel an Wartung. Viele Erweiterungen wurden seit Jahren nicht mehr aktualisiert. Das kann zu Kompatibilitätsproblemen führen und Nutzer Sicherheitsrisiken aussetzen. Entwickler sollten ihre Erweiterungen regelmässig aktualisieren, um sicherzustellen, dass sie sicher sind.
Nutzerbewusstsein
Nutzer haben oft nicht genug Bewusstsein für die Risiken, die von Erweiterungen ausgehen. Viele Nutzer sind sich möglicherweise nicht bewusst, dass sie SNE verwenden oder dass ihre Erweiterungen ihre Privatsphäre gefährden könnten. Es ist wichtig, die Nutzer über die potenziellen Gefahren aufzuklären, die mit den von ihnen installierten Erweiterungen verbunden sind.
Sicherheitsrisiken von Erweiterungen
Erweiterungen können Nutzer verfolgen, sensible Informationen stehlen und sie Malware aussetzen. Selbst scheinbar harmlose Erweiterungen können Schwachstellen haben, die Angreifer ausnutzen könnten. Nutzer sollten vorsichtig sein und die Berechtigungen, die Erweiterungen anfordern, in Betracht ziehen.
Die Rolle der Entwickler
Entwickler spielen eine entscheidende Rolle bei der Gewährleistung der Sicherheit ihrer Erweiterungen. Sie sollten proaktiv bei der Wartung und Aktualisierung ihrer Produkte sein. Entwickler sollten auch die Berechtigungen, die sie anfordern, kritisch überprüfen und sicherstellen, dass sie nur das anfragen, was für die Funktionalität der Erweiterung notwendig ist.
Übergang zu Manifest V3
Google hat Manifest V3 eingeführt, um die Sicherheit, Privatsphäre und Leistung von Erweiterungen zu verbessern. Allerdings verwenden derzeit noch viele Erweiterungen das ältere Manifest V2, was bedeutet, dass sie die neuen Sicherheitsfunktionen verpassen. Entwickler werden ermutigt, zu Manifest V3 zu wechseln, um von diesen Verbesserungen zu profitieren.
Nutzung verletzlicher Bibliotheken
Eine erhebliche Anzahl von Erweiterungen verwendet veraltete JavaScript-Bibliotheken, die bekannte Schwachstellen haben. Das kann Nutzer gefährden, da Angreifer diese Schwachstellen ausnutzen können. Entwickler müssen die Bibliotheken, die sie in ihren Erweiterungen verwenden, regelmässig überprüfen und aktualisieren.
Fazit
Insgesamt gibt es erhebliche Sicherheitsbedenken hinsichtlich der Nutzung von Browser-Erweiterungen aus dem CWS. Das Vorhandensein von SNE, der Mangel an Wartung und die Nutzung von verletzlichen Bibliotheken tragen zu einem unsicheren Umfeld für die Nutzer bei. Die Verbesserung der Sicherheit des CWS erfordert eine bessere Erkennung von problematischen Erweiterungen, ein erhöhtes Bewusstsein der Nutzer und proaktive Wartung durch die Entwickler. Klare Richtlinien und Werkzeuge sollten geschaffen werden, um eine sichere Nutzung zu ermöglichen und gleichzeitig die Vorteile von Erweiterungen zu maximieren.
Titel: What is in the Chrome Web Store? Investigating Security-Noteworthy Browser Extensions
Zusammenfassung: This paper is the first attempt at providing a holistic view of the Chrome Web Store (CWS). We leverage historical data provided by ChromeStats to study global trends in the CWS and security implications. We first highlight the extremely short life cycles of extensions: roughly 60% of extensions stay in the CWS for one year. Second, we define and show that Security-Noteworthy Extensions (SNE) are a significant issue: they pervade the CWS for years and affect almost 350 million users. Third, we identify clusters of extensions with a similar code base. We discuss how code similarity techniques could be used to flag suspicious extensions. By developing an approach to extract URLs from extensions' comments, we show that extensions reuse code snippets from public repositories or forums, leading to the propagation of dated code and vulnerabilities. Finally, we underline a critical lack of maintenance in the CWS: 60% of the extensions in the CWS have never been updated; half of the extensions known to be vulnerable are still in the CWS and still vulnerable 2 years after disclosure; a third of extensions use vulnerable library versions. We believe that these issues should be widely known in order to pave the way for a more secure CWS.
Autoren: Sheryl Hsu, Manda Tran, Aurore Fass
Letzte Aktualisierung: 2024-06-18 00:00:00
Sprache: English
Quell-URL: https://arxiv.org/abs/2406.12710
Quell-PDF: https://arxiv.org/pdf/2406.12710
Lizenz: https://creativecommons.org/licenses/by-nc-sa/4.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.
Referenz Links
- https://apache.org/licenses/LICENSE-2.0
- https://opensource.org/licenses/MIT
- https://opensource.org/licenses/mit-license.php
- https://extensionizr.com
- https://jquery.org/license
- https://underscorejs.org
- https://code.google.com/p/crypto-js
- https://code.google.com/p/crypto-js/wiki/License
- https://github.com/carhartl/jquery-cookie
- https://mozilla.org/MPL/2.0
- https://jqueryui.com
- https://opensource.org/licenses/BSD-3-Clause
- https://codemirror.net/LICENSE
- https://github.com/twbs/bootstrap/blob/master/LICENSE
- https://ajax.googleapis.com/
- https://image.lovelytab.com
- https://v2.lovelytab.com/
- https://newtabexperience.com
- https://dl.acm.org/ccs.cfm