31% дополнений к Chrome используют библиотеки с известными уязвимостями

Разработчики сервиса для проверки безопасности браузерных дополнений CRXcavator опубликовали результаты анализа рисков при использовании дополнений, представленных в каталоге Chrome Web Store. В ходе исследования было изучены полномочия более 120 тысяч дополнений для Chrome. В итоге было выяснено, что:

  • 31.8% дополнений используют сторонние библиотеки, в которых имеются известные уязвимости.
  • 35.4% дополнений запрашивают полномочия, позволяющие полностью получить доступ к данным пользователя на любых сайтах.
  • 15% применяют уязвимые библиотеки и имеют полномочия для доступа к пользовательским данным на сайтах.
  • 9% дополнений имеют полномочия для чтения всех Cookie пользователя;
  • 77.3% дополнений не имеют собственного сайта.
  • 84.7% дополнений не определяют правила обработки конфиденциальных данных.
  • 78.3% не определяют CSP (Content Security Policies).
  • 99% не ограничивают источник загружаемых данных (default-src и connect-src) через CSP.

Полный текст статьи читайте на OpenNet