Порочный круг расширений: Chrome Web Store затягивает в паутину опасностей

Группа ученых из Стэнфорда и Центра информационной безопасности CISPA Helmholtz провела анализ расширений для браузера Chrome. Результаты ставят под сомнение недавние заявления Google о безопасности Chrome Web Store.

Представители Google утверждают, что в 2024 году менее одного процента всех установок из их магазина содержали вредоносное ПО. Однако исследование , проведенное Шерил Су, Мандой Тран и Орор Фасс, рисует куда более тревожную картину.

Согласно работе, которую представят на конференции ASIA CCS '24 в июле, за последние три года более 346 миллионов пользователей установили так называемые Security-Noteworthy Extensions (SNE, "расширения, заслуживающие внимания с точки зрения безопасности»). Из них 280 миллионов установок приходится на вредоносное ПО, 63 миллиона – на программы, нарушающие политику Chrome Web Store, и 3 миллиона - на уязвимые приложения.

Исследователи проанализировали данные о расширениях Chrome, доступных с 5 июля 2020 года по 14 февраля 2023 года. На тот момент в Chrome Web Store насчитывалось почти 125 000 продуктов. Выяснилось, что часто эти приложения очень недолговечны: только 51,86–62,98 процента из них остаются доступными через год после публикации.

Однако вредоносные расширения оказались на удивление живучими. В среднем SNE, содержащие вредоносное ПО, остаются доступными 380 дней, а расширения с уязвимым кодом - 1248 дней. Рекордсменом стало приложение "TeleApp", которое пробыло на прилавках Web Store 8,5 лет после обнаружения угрозы. Последний раз оно обновлялось 13 декабря 2013 года, а вредоносный код в нем был найден 14 июня 2022 года.

Ученые также отметили неэффективность рейтинговой системы магазина. Оценки пользователей для зловредных SNE существенно не отличаются от оценок безопасных продуктов. Авторы допускают возможность использования ботов для создания фальшивых отзывов, но, учитывая, что половина SNE вообще не имеет отзывов, можно предположить, что это явление не так сильно распространено.

Отсутствие регулярных обновлений стало еще одной серьезной проблемой: почти 60% дополнений никогда не модернизировались. Такая ситуация лишает их критически важных улучшений безопасности, в том числе тех, что предусмотрены в обновленной платформе Manifest v3. Исследователи выявили, что минимум 78 из 184 проанализированных программ (42%) по-прежнему доступны в Chrome Web Store и сохраняют уязвимости даже спустя два года после публичного раскрытия информации о них.

Многие программы используют небезопасные JavaScript-библиотеки. Примерно в каждом третьем дополнении (около 40 000) найдены библиотеки с известными проблемами. Всего выявлено более 80 000 случаев применения такого кода, что угрожает безопасности почти 500 миллионов пользователей.

Авторы исследования советуют Google тщательнее проверять расширения и следить за тем, насколько похож код в разных дополнениях. Это поможет избежать распространения ошибок при копировании. Яркий пример: около 1000 расширений построены на базе проекта Extensionizr с открытым кодом. При этом 65–80 процентов из них до сих пор содержат проблемные версии библиотек, которые были в составе этого инструмента шесть лет назад.

Шерил Су, соавтор исследования, отметила в интервью, что безопасность расширений улучшается по сравнению с ситуацией десятилетней давности, когда они только начинали появляться. Она предлагает помечать расширения, которые не обновлялись или содержат уязвимые библиотеки, но предостерегает от поспешных выводов. Отсутствие обновлений не делает расширение опасным, а наличие проблемной библиотеки не обязательно означает, что злоумышленники смогут ее эксплуатировать.

Су подчеркивает, как сложно предоставить пользователям корректную информацию, чтобы они могли принимать обоснованные решения. Многие не обладают техническими знаниями и не могут найти время, чтобы глубоко разобраться в этих вопросах. Исследовательница также надеется, что Google вскоре отключит поддержку Manifest v2, что должно помочь решить некоторые из выявленных проблем.

Ожидается, что расширения Chrome на базе Manifest v2 прекратят работу в стабильной версии Chrome в начале 2025 года, если не произойдет дальнейших задержек. Это изменение, наряду с другими мерами по усилению контроля и поддержки разработчиков, может значительно повысить безопасность экосистемы расширений Chrome.