Расширения для Chrome могут следить за пользователями

Треть всех расширений для Chrome «видят» все данные на посещенных сайтах.

Как пишет издание Хакер, часть расширений для браузера Chrome «видят» все данные на посещенных сайтах и могут следить за пользователями.

Специалисты компании Duo Labs создали специальный инструмент CRXcavator, и с его помощью просканировали Chrome Web Store, изучив код 120 463 расширений.

CRXcavator помог специалистам понять, какие права расширения запрашивают у пользователей, с какими внешними доменами поддерживают связь, используются ли они какие-либо уязвимые библиотеки, имеют ли доступ к данным OAuth2, проверяют ли хедеры Content Security Policy (CSP), а также есть ли у расширений политика конфиденциальности и какие-либо данные об авторах.

Эксперты Duo Labs установили:

84,7% расширений не имеют политики конфиденциальности и каких-либо документов, описывающих правовую сторону отношений между разработчиками и пользователями;
77,3% расширений не имеют официального сайта;
35,4% могут читать любые данные со всех сайтов, которые посещает пользователь;
31,8% используют в работе сторонние библиотеки JavaScript с известными уязвимостями;
9% могут иметь доступ и читать файлы куки, некоторые из которых используются для аутентификации.

Как пишет Код Дурова, в Google Chrome появится система контроля за активностью расширений. В новой экспериментальной версии Google Chrome Canary уже появилась функция, которая мониторит работу расширений и показывает, какие действия те выполняют и какие ресурсы используют.

Обсудить на странице: вконтакте, фейсбук, твиттер