3 年影響 2.8 億人次，新研究洞察谷歌 Chrome 瀏覽器惡意擴展問題

IT之家 6 月 25 日消息，網(wǎng)絡安全專家最新發(fā)布的報告指出，在 2020 年 7 月至 2023 年 2 月期間，共有 3.46 億 Chrome 用戶安裝過問題擴展，其中最值得關注的是有 2.8 億人安裝了惡意擴展程序。

根據(jù)報告顯示的內(nèi)容，有超過 6300 萬次擴展違反了谷歌相關政策、300 萬次擴展存在漏洞、2.8 億次擴展包含惡意軟件。

斯坦福大學和 CISPA 赫爾姆霍茲信息安全中心的研究人員 Sheryl Hsu、Manda Tran 和 Aurore Fass 深入研究 Chrome 應用商場上的  Security-Noteworthy Extensions（SNE）問題擴展。

IT之家援引報告內(nèi)容，SNE 被定義為包含惡意軟件、違反 Chrome 瀏覽器網(wǎng)絡商店政策或包含易受攻擊代碼的擴展。

研究人員表示正常情況下，常規(guī) Chrome 瀏覽器擴展在商店的平均上架時間不是很長，上架時間超過 1 年的擴展占比 51.8%-62.9%。

另一方面，SNE 在商店中的平均停留時間為 380 天（惡意軟件），如果包含易受攻擊的代碼，則為 1248 天。

存活時間最長的 SNE 名為 TeleApp，上架時間達到 8.5 年，最后一次更新是在 2013 年 12 月 13 日，在 2022 年 6 月 14 日被發(fā)現(xiàn)含有惡意軟件，隨后被刪除。

研究人員表示評分并不能幫助判斷某款擴展是否包含惡意，報告指出：“總的來說，用戶并沒有給 SNE 較低的評分，這表明用戶可能沒有意識到這類擴展是危險的。當然，也有可能是機器人給這些擴展程序提供了虛假評論和高評分。不過，考慮到半數(shù) SNE 沒有評論，因此不太可能大面積使用虛假評論”。

參考

• What is in the Chrome Web Store? Investigating Security-Noteworthy Browser Extensions

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。