Удручающие сведения пришли из известной лаборатории Duo Labs. Специалисты этой компании проверяли на параметры безопасности все расширения для интернет-браузера Google Chrome. Для этого специалисты компании разработали специализированный инструмент CRXcavator, который предназначен для сканирования Chrome Internet Store. В тестовых исследованиях насильно приняли участие более 120 тысяч расширений.
Неутешительные выводы по работе расширений
Специалисты при помощи CRXcavator проверили расширения на запрашиваемые права у пользователей. Обнаружили и все внешние домены, которые использовались, а также нашли библиотеки с уязвимостями. Проверили и другие более узкоспециализированные сведения на предмет безопасности и правильного использования доступа к данным с проверкой хедеров. Нашли и всех разработчиков приложений, которые собирают какую-либо информацию о пользователях. В целом, был проведен серьезный анализ группой экспертов из Duo Labs.
Оказалось, что почти 85 процентов не используют никакой политики конфиденциальности. То есть они не подписывают договора между авторами и конечными юзерами, закрывая глаза на права двух сторон. Около 77% расширений не указали своего сайта. Более 35% просматривают страницы сайтов, посещаемые пользователем. Ещё 32% применяют библиотеки JavaScript с многочисленными уязвимостями. Менее 9% прочитывают ваши файлы куки, имея доступ к некоторым параметрам идентификации и аутентификации
Авторы советуют проверять вручную все расширения с глубоким доступом к вашим данным. Если таковые были найдены, то лучше их удалить. Вся информация может быть потом использована в противоправных мерах. Но чаще всего все сведения передаются рекламным агентствам и аналитическим службам. [Источник]