详细内容或原文请订阅后点击阅览
扩展程序的恶性循环:Chrome 网上应用店将您拖入危险之网
为什么您不应该信任流行浏览器的附加组件?
来源:安全实验室新闻频道来自斯坦福大学和 CISPA 亥姆霍兹信息安全中心的一组科学家对 Chrome 浏览器的扩展进行了分析。这一结果让谷歌最近关于 Chrome 网上应用店安全性的说法受到质疑。
CISPA 浏览器 ChromeGoogle 代表声称,到 2024 年,其商店中的所有安装中不到 1% 包含恶意软件。然而,Cheryl Su、Manda Tran 和 Oror Fass 的研究描绘了一幅更加令人震惊的景象。
研究根据 7 月份 ASIA CCS '24 上发布的研究报告,过去三年中,超过 3.46 亿用户安装了所谓的安全值得注意的扩展 (SNE),其中包括 280 个。 ,6300 万次是由于违反 Chrome 应用商店政策的程序造成的,300 万次是由于易受攻击的应用程序造成的。
研究人员分析了 2020 年 7 月 5 日至 2023 年 2 月 14 日期间可用的 Chrome 扩展程序的数据。当时,Chrome Web Store 中有近 125,000 种产品。事实证明,这些应用程序的生命周期往往非常短暂,其中只有 51.86-62.98% 在发布一年后仍然可用。
然而,恶意扩展的恢复能力却出人意料地强。平均而言,包含恶意软件的 SNE 的可用期限为 380 天,而包含易受攻击代码的扩展的可用期限为 1,248 天。记录保持者是 TeleApp 应用程序,该应用程序在威胁被发现后在网上商店的货架上停留了 8.5 年。最后更新时间为2013年12月13日,恶意代码于2022年6月14日被发现。
科学家还注意到商店评级系统的无效性。恶意 SNE 的用户评级与良性产品的评级没有显着差异。作者承认,机器人可能会被用来创建虚假评论,但考虑到一半的 SNE 根本没有评论,这种现象可能并不那么普遍。