Компания Google утверждает, что менее чем в 1% случаев из её магазина Chrome Web Store скачиваются вредоносные расширения. Сторонние исследователи считают, что за минувшие 3 года вредоносные расширения отсюда скачали 280 млн пользователей.
Всего в магазине сейчас свыше 250 000 расширений. Google уверяет, что вредоносных среди них меньше 1%. Компания говорит о серьёзной системе безопасности, но даже сквозь неё вредоносные расширения периодически проскальзывают.
Анализ провели исследователи Шерил Хсу, Манда Тран и Аурор Фасс из Стэнфордского университета и Центра информационной безопасности Хельмхольца CISPA. В их работе вёлся поиск вредоносного программного обеспечения, которое нарушает политику магазина Chrome Web Store или содержит уязвимости.
Между июлем 2020 года и февралем 2023 года подозрительные расширения скачали 346 млн человек. В 63 млн случаев расширения нарушали политику магазина, в 3 млн были явные уязвимости, а 280 млн расширений содержали вредоносное программное обеспечение. В тот момент в магазине было около 125 000 расширений.
Обычно опасные расширения не задерживаются в магазине надолго. В течение года сохраняются примерно 51,8 - 62,9% из них. И наоборот, более опасные в среднем остаются в магазине 380 дней в случае с вредоносным программным обеспечением и 1248 дней с уязвимым кодом.
Самое долговечное опасное расширение под названием TeleApp находилось в магазине на протяжении 8,5 лет. В последний раз его обновляли 13 декабря 2013 года, а обнаружили 14 июня 2022 года, после чего удалили.
Совет проверять рейтинг расширений со стороны пользователей не помогает. Пользователи сами могут не понимать, что имеют дело с опасными расширениями. К тому же отзывы могут оставлять боты.
Исследователи предлагают Google анализировать расширения на предмет схожести кода. Около 1000 расширений применяют открытый исходный код Extensionizr, 65-80% из которых используют уязвимые версии библиотек возрастом более 6 лет.