研究称 2.8 亿 Google Chrome 用户安装了危险扩展程序

关键词

Chrome Web Store 上的恶意扩展程序问题到底有多严重？这取决于你相信谁。

谷歌方面表示，所有安装中只有不到 1% 包含恶意软件。但一组大学研究人员声称，在三年内有 2.8 亿人安装了受恶意软件感染的 Chrome 扩展程序。

谷歌上周表示，到 2024 年， Chrome Web Store上安装的所有扩展程序中，只有不到 1% 被发现包含恶意软件，目前该应用商店包含超过 25 万个扩展程序。

该公司补充说，虽然它对自己的安全记录感到自豪，但一些不良扩展程序仍然会通过，这就是为什么它还会监控已发布的扩展程序。“与任何软件一样，扩展程序也可能带来风险。”

斯坦福大学和 CISPA 亥姆霍兹信息安全中心的研究人员 Sheryl Hsu、Manda Tran 和 Aurore Fass 对这些数字给出了精确的估计。

据一份研究报告显示，三人对 Chrome 商店的安全重点扩展程序 (SNE) 进行了检查。SNE 是指包含恶意软件、违反 Chrome 网上商店政策或包含易受攻击代码的扩展程序。

研究发现，在 2020 年 7 月至 2023 年 2 月期间，有 3.46 亿用户安装了 SNE。其中 6300 万个违反政策，300 万个易受攻击，而这些 Chrome 扩展程序中有 2.8 亿个包含恶意软件。当时，Chrome 网上应用店中有近 125,000 个扩展程序可用。

研究人员发现，安全的 Chrome 扩展程序通常不会在商店中停留很长时间，一年后只有 51.8 – 62.9% 的扩展程序仍可用。另一方面，SNE 平均在商店中停留 380 天（恶意软件），如果包含易受攻击的代码，则停留 1,248 天。

存活时间最长的 SNE 名为 TeleApp，已存在 8.5 年，最后一次更新是在 2013 年 12 月 13 日，并于 2022 年 6 月 14 日被发现包含恶意软件，随后被删除。

我们经常被建议检查用户评级来确定应用程序或扩展程序是否是恶意的，但研究人员发现，这对于 SNE 的情况没有帮助。

“总体而言，用户不会给 SNE 打低分，这表明用户可能没有意识到此类扩展程序很危险。”作者写道。“当然，机器人也有可能给这些扩展程序打出虚假评论和高分。然而，考虑到一半的 SNE 都没有评论，似乎在这种情况下使用虚假评论并不普遍。”

谷歌表示，专门的安全团队会为用户提供他们安装的扩展程序的个性化摘要，在扩展程序发布到商店之前对其进行审查，并在发布后持续监控它们。研究人员建议谷歌还监控扩展程序的代码相似性。

报告指出：“例如，大约有 1,000 个扩展使用开源 Extensionizr 项目，其中 65% 到 80% 仍在使用六年前最初随该工具打包的默认和易受攻击的库版本。”他们还指出，由于缺乏维护，扩展在漏洞披露后很长时间仍留在商店中。