3 年影響 2.8 億人次，新研究洞察谷歌 Chrome 瀏覽器惡意擴(kuò)展問題

IT之家 6 月 25 日消息，網(wǎng)絡(luò)安全專家最新發(fā)布的報(bào)告指出，在 2020 年 7 月至 2023 年 2 月期間，共有 3.46 億 Chrome 用戶安裝過問題擴(kuò)展，其中最值得關(guān)注的是有 2.8 億人安裝了惡意擴(kuò)展程序。

根據(jù)報(bào)告顯示的內(nèi)容，有超過 6300 萬次擴(kuò)展違反了谷歌相關(guān)政策、300 萬次擴(kuò)展存在漏洞、2.8 億次擴(kuò)展包含惡意軟件。

斯坦福大學(xué)和 CISPA 赫爾姆霍茲信息安全中心的研究人員 Sheryl Hsu、Manda Tran 和 Aurore Fass 深入研究 Chrome 應(yīng)用商場(chǎng)上的  Security-Noteworthy Extensions（SNE）問題擴(kuò)展。

IT之家援引報(bào)告內(nèi)容，SNE 被定義為包含惡意軟件、違反 Chrome 瀏覽器網(wǎng)絡(luò)商店政策或包含易受攻擊代碼的擴(kuò)展。

研究人員表示正常情況下，常規(guī) Chrome 瀏覽器擴(kuò)展在商店的平均上架時(shí)間不是很長(zhǎng)，上架時(shí)間超過 1 年的擴(kuò)展占比 51.8%-62.9%。

另一方面，SNE 在商店中的平均停留時(shí)間為 380 天（惡意軟件），如果包含易受攻擊的代碼，則為 1248 天。

存活時(shí)間最長(zhǎng)的 SNE 名為 TeleApp，上架時(shí)間達(dá)到 8.5 年，最后一次更新是在 2013 年 12 月 13 日，在 2022 年 6 月 14 日被發(fā)現(xiàn)含有惡意軟件，隨后被刪除。

研究人員表示評(píng)分并不能幫助判斷某款擴(kuò)展是否包含惡意，報(bào)告指出：“總的來說，用戶并沒有給 SNE 較低的評(píng)分，這表明用戶可能沒有意識(shí)到這類擴(kuò)展是危險(xiǎn)的。當(dāng)然，也有可能是機(jī)器人給這些擴(kuò)展程序提供了虛假評(píng)論和高評(píng)分。不過，考慮到半數(shù) SNE 沒有評(píng)論，因此不太可能大面積使用虛假評(píng)論”。

參考

• What is in the Chrome Web Store? Investigating Security-Noteworthy Browser Extensions

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。