CRXcavator - serwis do oceny ryzyka dodatków ze sklepu Chrome
#1
Wielokrotnie utyskiwano na jakość dodatków do Chrome i znacznie chyba częściej dokumentowano przypadki takich, których działanie ewidentnie narażało użytkownika na straty. Narzekano również na sposób weryfikacji...a właściwie czasem jej brak...co walnie przyczyniało się do propagowania szkodliwego oprogramowania. Mamy jednak przykład inicjatywy, w której możemy osobiście brać udział i samodzielnie kreować czy kontrolować to, co w sklepie jest oferowane i reklamowane. Mowa tu o nowo powstałym serwisie pod nazwą CRXcavator uruchomionym przez badaczy z Duo Labs, a którego zadaniem...przesłaniem...jest m.in:
- stała kontrola i sprawdzanie zgromadzonych dodatków, które realizowane są poprzez skanowanie sklepu w regularnych kilkugodzinnych odstępach
- umożliwienie użytkownikom zgłaszania/raportowania podejrzanych dodatków i przesyłanie ich do analizy
- dostępne publicznie raporty z analiz poszczególnych dodatków.
Skanowanie ma na celu określenie kilku newralgicznych dla bezpieczeństwa parametrów jak np. oczekiwane zezwolenia, podatne fragmenty kodu firm trzecich (Java Scipt), nieścisłości w polityce prywatności, brak potrzebnych informacji w opisie w sklepie, itp. Na podstawie bazy utworzonej w styczniu - 120463 wyniki - stwierdzono np. że 84,7% dodatków ma braki w polityce prywatności, a 31% zawiera podatne biblioteki firm trzecich.
Każda z pojedynczych analiz pokazuje dane w postaci diagramów oraz tabelki z określonym poziomem ryzyka dla danego kryterium i tak np.
- taki Privacy Cleaner ma ocenę ryzyka na poziomie 478
https://crxcavator.io/report/liiikhhbkpm...ahi/4.0.18
- AdBlock Plus na poziomie "tylko" 152
https://crxcavator.io/report/cfhdojbkjhn...fddb/3.4.3
- uBlock Origin ma 154
https://crxcavator.io/report/cjpalhdlnbp...agm/1.18.4
- uMatrix aż 197
https://crxcavator.io/report/ogfcmafjalg...dcf/1.3.16
- a Emsisof Browser Security ma "zaledwie" 39
https://crxcavator.io/report/jfofijpkapi...18.12.0.12
Ponadto na wykresie widzimy trend w zmianie oceny czyli ich zmiany w czasie czyli możemy ocenić, czy dodatek staje się mniej czy bardziej bezpieczny.

Źródło informacji
https://securityaffairs.co/wordpress/815...lyzer.html
Strona serwisu
https://crxcavator.io/
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Przydatne. Silniki antywirusowe są w zasadzie chyba bezsilne wobec malware'u w formie dodatków do przeglądarek.
Odpowiedz