CRXcavator - serwis do oceny ryzyka dodatków ze sklepu Chrome
#1
Wielokrotnie utyskiwano na jakość dodatków do Chrome i znacznie chyba częściej dokumentowano przypadki takich, których działanie ewidentnie narażało użytkownika na straty. Narzekano również na sposób weryfikacji...a właściwie czasem jej brak...co walnie przyczyniało się do propagowania szkodliwego oprogramowania. Mamy jednak przykład inicjatywy, w której możemy osobiście brać udział i samodzielnie kreować czy kontrolować to, co w sklepie jest oferowane i reklamowane. Mowa tu o nowo powstałym serwisie pod nazwą CRXcavator uruchomionym przez badaczy z Duo Labs, a którego zadaniem...przesłaniem...jest m.in:
- stała kontrola i sprawdzanie zgromadzonych dodatków, które realizowane są poprzez skanowanie sklepu w regularnych kilkugodzinnych odstępach
- umożliwienie użytkownikom zgłaszania/raportowania podejrzanych dodatków i przesyłanie ich do analizy
- dostępne publicznie raporty z analiz poszczególnych dodatków.
Skanowanie ma na celu określenie kilku newralgicznych dla bezpieczeństwa parametrów jak np. oczekiwane zezwolenia, podatne fragmenty kodu firm trzecich (Java Scipt), nieścisłości w polityce prywatności, brak potrzebnych informacji w opisie w sklepie, itp. Na podstawie bazy utworzonej w styczniu - 120463 wyniki - stwierdzono np. że 84,7% dodatków ma braki w polityce prywatności, a 31% zawiera podatne biblioteki firm trzecich.
Każda z pojedynczych analiz pokazuje dane w postaci diagramów oraz tabelki z określonym poziomem ryzyka dla danego kryterium i tak np.
- taki Privacy Cleaner ma ocenę ryzyka na poziomie 478

[Aby zobaczyć linki, zarejestruj się tutaj]

- AdBlock Plus na poziomie "tylko" 152

[Aby zobaczyć linki, zarejestruj się tutaj]

- uBlock Origin ma 154

[Aby zobaczyć linki, zarejestruj się tutaj]

- uMatrix aż 197

[Aby zobaczyć linki, zarejestruj się tutaj]

- a Emsisof Browser Security ma "zaledwie" 39

[Aby zobaczyć linki, zarejestruj się tutaj]

Ponadto na wykresie widzimy trend w zmianie oceny czyli ich zmiany w czasie czyli możemy ocenić, czy dodatek staje się mniej czy bardziej bezpieczny.

Źródło informacji

[Aby zobaczyć linki, zarejestruj się tutaj]

Strona serwisu

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Wiadomości w tym wątku
CRXcavator - serwis do oceny ryzyka dodatków ze sklepu Chrome - przez ichito - 24.02.2019, 16:52

Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości