史丹佛大學：三年內有2.8億人安裝了受惡意軟體感染的Chrome瀏覽器擴充套件

Chrome 網上商城的惡意擴充套件問題到底有多嚴重？這取決於你相信誰。Google方面稱，在所有安裝的擴充套件中，包含惡意 軟體的不到 1%。但一組大學研究人員聲稱，在三年時間裡，有 2.8 億人安裝了受惡意 軟體感染的 Chrome 瀏覽器擴充套件。

Google上週表示，在 2024 年，Chrome 瀏覽器網路商店（目前包含 25 萬多個擴充套件）中只有不到 1%的安裝程式被發現包含惡意軟體。該公司補充說，雖然它對自己的安全記錄感到自豪，但仍有一些不良的擴充套件程式會透過，這就是為什麼它也會對已釋出的擴充套件程式進行監控。安全團隊寫道：”與任何 軟體一樣，擴充套件程式也可能帶來風險。”

史丹佛大學和 CISPA 赫爾姆霍茲資訊保安中心的研究人員 Sheryl Hsu、Manda Tran 和 Aurore Fass 對這些數字進行了精確計算。

正如一篇研究論文中披露的那樣，三人對 Chrome 瀏覽器商店中的安全值得關注擴充套件（SNE）進行了檢查。SNE 被定義為包含惡意 軟體、違反 Chrome 瀏覽器網路商店政策或包含易受攻擊程式碼的擴充套件。

調查發現，在 2020 年 7 月至 2023 年 2 月期間，有 3.46 億使用者安裝了 SNE。其中 6300 萬個違反了政策，300 萬個存在漏洞，2.8 億個 Chrome 瀏覽器擴充套件包含惡意 軟體。當時，Chrome 瀏覽器網路商店中有近 12.5 萬個擴充套件。

研究人員發現，安全的 Chrome 瀏覽器擴充套件通常不會在商店中停留很長時間，一年後仍可使用的擴充套件僅佔 51.8 – 62.9%。另一方面，SNE 在商店中的平均停留時間為 380 天（惡意 軟體），如果包含易受攻擊的程式碼則為 1248 天。

存活時間最長的 SNE 名為 TeleApp，可用了 8.5 年，最後一次更新是在 2013 年 12 月 13 日，在 2022 年 6 月 14 日被發現含有惡意 軟體，隨後被刪除。

我們經常被建議透過檢視使用者評分來判斷一個應用程式或擴充套件是否是惡意的，但研究人員發現，這對 SNE 毫無幫助。作者寫道：”總的來說，使用者並沒有給 SNE 較低的評分，這表明使用者可能沒有意識到這類擴充套件是危險的。”當然，也有可能是機器人給這些擴充套件程式提供了虛假評論和高評分。不過，考慮到半數 SNE 沒有評論，在這種情況下，使用虛假評論似乎並不普遍”。

Google表示，一個專門的安全團隊會向使用者提供他們安裝的擴充套件的個性化摘要，在擴充套件釋出到商店之前對其進行審查，並在釋出之後對其進行持續監控。研究人員建議Google也監控擴充套件程式的程式碼相似性。

報告指出：”例如，大約有 1000 個擴充套件程式使用開源 Extensionizr 專案，其中 65% 至 80% 仍在使用六年前最初與該工具打包在一起的預設和有漏洞的庫版本。由於缺乏維護，在漏洞被披露後很長時間內，擴充套件程式仍在商店中存在。”