资讯
近日消息,近期安全领域的一项重要发现揭示,自2020年7月至2023年2月底,约有3.46亿名Chrome浏览器用户不慎下载安装了存在问题的扩展程序。
该研究报告强调,其中超过630万款扩展违反了谷歌的安全与隐私政策,300万个扩展暴露出潜在的安全漏洞,而令人震惊的是,竟有高达2.8亿个扩展程序被确认含有恶意软件成分。这一数据凸显出Chrome浏览器扩展市场面临的严峻安全挑战。
斯坦福大学和 CISPA 赫尔姆霍兹信息安全中心的研究人员 Sheryl Hsu、Manda Tran 和 Aurore Fass 深入研究 Chrome 应用商场上的 Security-Noteworthy Extensions(SNE)问题扩展。
SNE 被定义为包含恶意软件、违反 Chrome 浏览器网络商店政策或包含易受攻击代码的扩展。
研究人员表示正常情况下,常规 Chrome 浏览器扩展在商店的平均上架时间不是很长,上架时间超过 1 年的扩展占比 51.8%-62.9%。
另一方面,SNE 在商店中的平均停留时间为 380 天(恶意软件),如果包含易受攻击的代码,则为 1248 天。
存活时间最长的 SNE 名为 TeleApp,上架时间达到 8.5 年,最后一次更新是在 2013 年 12 月 13 日,在 2022 年 6 月 14 日被发现含有恶意软件,随后被删除。
研究人员表示评分并不能帮助判断某款扩展是否包含恶意,报告指出:“总的来说,用户并没有给 SNE 较低的评分,这表明用户可能没有意识到这类扩展是危险的。当然,也有可能是机器人给这些扩展程序提供了虚假评论和高评分。不过,考虑到半数 SNE 没有评论,因此不太可能大面积使用虚假评论”。
文明上网,理性发言,共同做网络文明传播者