За три года 280 млн пользователей скачали зараженные расширения Chrome. Это обнаружили исследователи из Стэнфордского университета и Центра информационной безопасности имени Гельмгольца (CISPA). Однако Google заявляет, что менее 1% всех установок из магазина расширений содержат вредоносное ПО, о чем сообщает TechSpot.
Из отчета CISPA следует, что за период с июля 2020 года по февраль 2023 года, 346 миллионами пользователей были установлены расширения, помеченные как SNE, представляющие угрозу и содержащие вредоносное ПО, нарушающие политику Chrome Web Store или имеющие уязвимый код
При этом некоторые опасные расширения надолго остаются в магазине, например, TeleApp было доступно 8,5 года и удалено в июне 2022 года. В целом в магазине Chrome насчитывается более 250 тыс. расширений.
Специалисты также отмечают, что пользовательские рейтинги не помогают обнаруживать вредоносные расширения, из-за отсутствия низких оценок SNE, что затрудняет их распознавание. Видимо положительные отзывы оставляют боты, а половина SNE не имеет отзывов.
Как утверждает Google, командой безопасности предоставлены пользователям персонализированные сводки установленных расширений. Они проверяются перед публикацией и постоянно мониторятся. Но в то же время исследователи отмечают недостаточный мониторинг, который позволяет опасным расширениям оставаться в магазине после обнаружения уязвимостей.
