Preoccupazioni di sicurezza nelle estensioni del Chrome Web Store
Questo documento esamina i rischi e i problemi di manutenzione con le estensioni di Chrome.
― 4 leggere min
Indice
- Panoramica del Chrome Web Store
- Il ciclo di vita delle estensioni
- Estensioni degne di nota per la sicurezza
- Cluster di estensioni simili
- Mancanza di manutenzione
- Consapevolezza degli utenti
- Rischi di sicurezza delle estensioni
- Il ruolo degli sviluppatori
- Transizione al Manifest V3
- Utilizzo di librerie vulnerabili
- Conclusione
- Fonte originale
- Link di riferimento
Il Chrome Web Store (CWS) è una piattaforma dove gli utenti possono trovare e installare estensioni per il browser Google Chrome. Le estensioni sono piccoli software che migliorano l'esperienza di navigazione aggiungendo funzionalità. Tuttavia, non tutte le estensioni sono sicure e ci sono notevoli preoccupazioni sulla sicurezza riguardo al loro uso e manutenzione.
Panoramica del Chrome Web Store
Il CWS ospita circa 125.000 estensioni, usate da oltre 1,6 miliardi di utenti attivi. Anche se le estensioni possono fornire strumenti utili, possono anche comportare dei rischi. Alcune sono progettate con intenti malevoli, mentre altre potrebbero avere Vulnerabilità che gli attaccanti possono sfruttare. Questo documento esamina le tendenze nel CWS e mette in evidenza i principali problemi di sicurezza legati alle estensioni del browser.
Il ciclo di vita delle estensioni
La maggior parte delle estensioni non rimane a lungo nel CWS. Circa il 60% di esse è disponibile solo per un anno. Questo alto turnover solleva preoccupazioni sulla stabilità e affidabilità delle estensioni disponibili per gli utenti. Inoltre, molte estensioni non vengono aggiornate regolarmente. Più della metà di esse non è mai stata aggiornata dalla loro uscita. Questa mancanza di manutenzione può portare a rischi di sicurezza.
Estensioni degne di nota per la sicurezza
C'è una categoria di estensioni conosciuta come "Estensioni Digne di Nota per la Sicurezza" (SNE). Queste includono:
- Estensioni che contengono Malware, che possono rubare dati degli utenti o tracciare attività online.
- Estensioni che violano le politiche del CWS, il che può significare che non seguono le regole stabilite dalla piattaforma.
- Estensioni che hanno vulnerabilità note, che potrebbero consentire agli attaccanti di sfruttarle.
Le SNE rappresentano un rischio significativo in quanto possono influenzare centinaia di milioni di utenti. È stato riscontrato che oltre 346 milioni di utenti hanno installato almeno una SNE negli ultimi tre anni.
Cluster di estensioni simili
Molte estensioni condividono codice simile, il che solleva preoccupazioni. Quando le estensioni hanno codice simile, può implicare che potrebbero avere le stesse vulnerabilità. La rilevazione della somiglianza del codice può aiutare a identificare estensioni che potrebbero essere problematiche. È fondamentale segnalare queste estensioni per ulteriori controlli, specialmente quando viene trovata una con malware o vulnerabilità.
Mancanza di manutenzione
Il CWS ha una preoccupante mancanza di manutenzione. Molte estensioni non sono state aggiornate per anni. Questo può portare a problemi di compatibilità ed esporre gli utenti a rischi di sicurezza. Gli sviluppatori dovrebbero aggiornare regolarmente le loro estensioni per garantire che siano sicure.
Consapevolezza degli utenti
Gli utenti spesso non hanno abbastanza consapevolezza dei rischi posti dalle estensioni. Molti utenti potrebbero non essere consapevoli di utilizzare SNE o che le loro estensioni potrebbero danneggiare la loro privacy. È fondamentale educare gli utenti sui potenziali pericoli associati alle estensioni che installano.
Rischi di sicurezza delle estensioni
Le estensioni possono tracciare gli utenti, rubare informazioni sensibili ed esporli a malware. Anche estensioni che sembrano innocue possono avere vulnerabilità che gli attaccanti potrebbero sfruttare. Gli utenti dovrebbero essere cauti e considerare le autorizzazioni richieste dalle estensioni.
Il ruolo degli sviluppatori
Gli sviluppatori hanno un ruolo cruciale nel garantire la sicurezza delle loro estensioni. Dovrebbero essere proattivi nella manutenzione e nell'aggiornamento dei loro prodotti. Gli sviluppatori dovrebbero anche esaminare attentamente le autorizzazioni che richiedono e assicurarsi di chiedere solo ciò che è necessario per le funzionalità dell'estensione.
Transizione al Manifest V3
Google ha introdotto il Manifest V3 per migliorare la sicurezza, la privacy e le prestazioni delle estensioni. Tuttavia, al momento, una parte significativa delle estensioni utilizza ancora il vecchio Manifest V2, il che significa che stanno perdendo le nuove funzionalità di sicurezza. Gli sviluppatori sono incoraggiati a passare al Manifest V3 per sfruttare questi miglioramenti.
Utilizzo di librerie vulnerabili
Un numero significativo di estensioni utilizza librerie JavaScript obsolete che presentano vulnerabilità note. Questo può mettere a rischio gli utenti in quanto gli attaccanti possono sfruttare tali vulnerabilità. Gli sviluppatori devono rivedere e aggiornare regolarmente le librerie che utilizzano nelle loro estensioni.
Conclusione
In generale, ci sono notevoli preoccupazioni di sicurezza riguardo all'uso delle estensioni del browser del CWS. La presenza di SNE, la mancanza di manutenzione e l'uso di librerie vulnerabili contribuiscono a un ambiente non sicuro per gli utenti. Migliorare la sicurezza del CWS richiederà una migliore rilevazione delle estensioni problematiche, una maggiore consapevolezza tra gli utenti e una manutenzione proattiva da parte degli sviluppatori. Dovrebbero essere stabilite linee guida chiare e strumenti per facilitare un uso sicuro massimizzando i benefici delle estensioni.
Titolo: What is in the Chrome Web Store? Investigating Security-Noteworthy Browser Extensions
Estratto: This paper is the first attempt at providing a holistic view of the Chrome Web Store (CWS). We leverage historical data provided by ChromeStats to study global trends in the CWS and security implications. We first highlight the extremely short life cycles of extensions: roughly 60% of extensions stay in the CWS for one year. Second, we define and show that Security-Noteworthy Extensions (SNE) are a significant issue: they pervade the CWS for years and affect almost 350 million users. Third, we identify clusters of extensions with a similar code base. We discuss how code similarity techniques could be used to flag suspicious extensions. By developing an approach to extract URLs from extensions' comments, we show that extensions reuse code snippets from public repositories or forums, leading to the propagation of dated code and vulnerabilities. Finally, we underline a critical lack of maintenance in the CWS: 60% of the extensions in the CWS have never been updated; half of the extensions known to be vulnerable are still in the CWS and still vulnerable 2 years after disclosure; a third of extensions use vulnerable library versions. We believe that these issues should be widely known in order to pave the way for a more secure CWS.
Autori: Sheryl Hsu, Manda Tran, Aurore Fass
Ultimo aggiornamento: 2024-06-18 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2406.12710
Fonte PDF: https://arxiv.org/pdf/2406.12710
Licenza: https://creativecommons.org/licenses/by-nc-sa/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://apache.org/licenses/LICENSE-2.0
- https://opensource.org/licenses/MIT
- https://opensource.org/licenses/mit-license.php
- https://extensionizr.com
- https://jquery.org/license
- https://underscorejs.org
- https://code.google.com/p/crypto-js
- https://code.google.com/p/crypto-js/wiki/License
- https://github.com/carhartl/jquery-cookie
- https://mozilla.org/MPL/2.0
- https://jqueryui.com
- https://opensource.org/licenses/BSD-3-Clause
- https://codemirror.net/LICENSE
- https://github.com/twbs/bootstrap/blob/master/LICENSE
- https://ajax.googleapis.com/
- https://image.lovelytab.com
- https://v2.lovelytab.com/
- https://newtabexperience.com
- https://dl.acm.org/ccs.cfm