Preocupações de Segurança nas Extensões da Chrome Web Store
Este artigo analisa os riscos e problemas de manutenção com extensões do Chrome.
― 5 min ler
Índice
- Visão Geral da Chrome Web Store
- O Ciclo de Vida das Extensões
- Extensões Notáveis em Segurança
- Grupos de Extensões Semelhantes
- Falta de Manutenção
- Consciência do Usuário
- Riscos de Segurança das Extensões
- O Papel dos Desenvolvedores
- Transição para Manifest V3
- Uso de Bibliotecas Vulneráveis
- Conclusão
- Fonte original
- Ligações de referência
A Chrome Web Store (CWS) é uma plataforma onde os usuários podem encontrar e instalar extensões para o navegador Google Chrome. As extensões são pequenos programas de software que melhoram a experiência de navegação adicionando recursos ou funcionalidades. Mas, nem todas as extensões são seguras, e existem preocupações significativas de segurança em relação ao uso e à manutenção delas.
Visão Geral da Chrome Web Store
A CWS hospeda cerca de 125.000 extensões, usadas por mais de 1,6 bilhão de usuários ativos. Embora as extensões possam oferecer ferramentas úteis, também podem apresentar riscos. Algumas são feitas com intenções maliciosas, enquanto outras podem ter Vulnerabilidades que os atacantes podem explorar. Este artigo examina tendências na CWS e destaca questões de segurança relacionadas às extensões do navegador.
O Ciclo de Vida das Extensões
A maioria das extensões não fica na CWS por muito tempo. Cerca de 60% delas estão disponíveis por apenas um ano. Essa alta rotatividade levanta preocupações sobre a estabilidade e a confiabilidade das extensões disponíveis para os usuários. Além disso, muitas extensões não são atualizadas regularmente. Mais da metade delas nunca foi atualizada desde seu lançamento. Essa falta de manutenção pode levar a riscos de segurança.
Extensões Notáveis em Segurança
Tem uma categoria de extensões conhecidas como "Extensões Notáveis em Segurança" (SNE). Isso inclui:
- Extensões que contêm Malware, que podem roubar dados dos usuários ou rastrear atividades online.
- Extensões que violam as políticas da CWS, o que pode significar que não seguem as regras estabelecidas pela plataforma.
- Extensões que têm vulnerabilidades conhecidas, que poderiam permitir que os atacantes as explorassem.
As SNE representam um risco significativo, pois podem afetar centenas de milhões de usuários. Descobriram que mais de 346 milhões de usuários instalaram pelo menos uma SNE nos últimos três anos.
Grupos de Extensões Semelhantes
Muitas extensões compartilham código semelhante, o que levanta preocupações. Quando as extensões têm código semelhante, isso pode indicar que elas podem ter as mesmas vulnerabilidades. A detecção de similaridade de código pode ajudar a identificar extensões que poderiam ser problemáticas. É crucial sinalizar essas extensões para uma revisão mais aprofundada, especialmente quando uma é encontrada contendo malware ou vulnerabilidades.
Falta de Manutenção
A CWS tem uma preocupante falta de manutenção. Muitas extensões não foram atualizadas há anos. Isso pode levar a problemas de compatibilidade e expor os usuários a riscos de segurança. Os desenvolvedores deveriam atualizar regularmente suas extensões para garantir que elas sejam seguras.
Consciência do Usuário
Os usuários geralmente não têm consciência suficiente dos riscos apresentados pelas extensões. Muitos podem não estar cientes de que estão usando SNE ou que suas extensões podem prejudicar sua privacidade. É essencial educar os usuários sobre os perigos potenciais associados às extensões que instalam.
Riscos de Segurança das Extensões
As extensões podem rastrear usuários, roubar informações sensíveis e expô-los a malware. Até extensões que parecem inofensivas podem ter vulnerabilidades que os atacantes poderiam explorar. Os usuários devem ser cautelosos e considerar as Permissões que as extensões solicitam.
O Papel dos Desenvolvedores
Os desenvolvedores têm um papel crítico em garantir a segurança de suas extensões. Eles devem ser proativos na manutenção e atualização de seus produtos. Os desenvolvedores também devem analisar as permissões que solicitam e garantir que peçam apenas o que é necessário para a funcionalidade da extensão.
Transição para Manifest V3
O Google introduziu o Manifest V3 para melhorar a segurança, a privacidade e o desempenho das extensões. No entanto, até agora, uma parte significativa das extensões ainda usa o Manifest V2 mais antigo, o que significa que estão perdendo os novos recursos de segurança. Os desenvolvedores são incentivados a fazer a transição para o Manifest V3 para aproveitar essas melhorias.
Uso de Bibliotecas Vulneráveis
Um número significativo de extensões usa bibliotecas JavaScript desatualizadas que têm vulnerabilidades conhecidas. Isso pode colocar os usuários em risco, pois os atacantes podem explorar essas vulnerabilidades. Os desenvolvedores precisam revisar e atualizar regularmente as bibliotecas que usam em suas extensões.
Conclusão
No geral, há preocupações significativas de segurança em relação ao uso de extensões de navegador da CWS. A presença de SNE, a falta de manutenção, e o uso de bibliotecas vulneráveis contribuem para um ambiente inseguro para os usuários. Melhorar a segurança da CWS vai exigir uma melhor detecção de extensões problemáticas, maior conscientização entre os usuários e manutenção proativa por parte dos desenvolvedores. Diretrizes claras e ferramentas devem ser estabelecidas para facilitar o uso seguro enquanto maximizam os benefícios das extensões.
Título: What is in the Chrome Web Store? Investigating Security-Noteworthy Browser Extensions
Resumo: This paper is the first attempt at providing a holistic view of the Chrome Web Store (CWS). We leverage historical data provided by ChromeStats to study global trends in the CWS and security implications. We first highlight the extremely short life cycles of extensions: roughly 60% of extensions stay in the CWS for one year. Second, we define and show that Security-Noteworthy Extensions (SNE) are a significant issue: they pervade the CWS for years and affect almost 350 million users. Third, we identify clusters of extensions with a similar code base. We discuss how code similarity techniques could be used to flag suspicious extensions. By developing an approach to extract URLs from extensions' comments, we show that extensions reuse code snippets from public repositories or forums, leading to the propagation of dated code and vulnerabilities. Finally, we underline a critical lack of maintenance in the CWS: 60% of the extensions in the CWS have never been updated; half of the extensions known to be vulnerable are still in the CWS and still vulnerable 2 years after disclosure; a third of extensions use vulnerable library versions. We believe that these issues should be widely known in order to pave the way for a more secure CWS.
Autores: Sheryl Hsu, Manda Tran, Aurore Fass
Última atualização: 2024-06-18 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2406.12710
Fonte PDF: https://arxiv.org/pdf/2406.12710
Licença: https://creativecommons.org/licenses/by-nc-sa/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.
Ligações de referência
- https://apache.org/licenses/LICENSE-2.0
- https://opensource.org/licenses/MIT
- https://opensource.org/licenses/mit-license.php
- https://extensionizr.com
- https://jquery.org/license
- https://underscorejs.org
- https://code.google.com/p/crypto-js
- https://code.google.com/p/crypto-js/wiki/License
- https://github.com/carhartl/jquery-cookie
- https://mozilla.org/MPL/2.0
- https://jqueryui.com
- https://opensource.org/licenses/BSD-3-Clause
- https://codemirror.net/LICENSE
- https://github.com/twbs/bootstrap/blob/master/LICENSE
- https://ajax.googleapis.com/
- https://image.lovelytab.com
- https://v2.lovelytab.com/
- https://newtabexperience.com
- https://dl.acm.org/ccs.cfm