Da una recente analisi di Duo, azienda di cybersecurity controllata da Cisco, è emerso che gran parte delle estensioni presente nello store di Chrome non contemplano o non hanno reso pubbliche le proprie policy di sicurezza.
Il team di Duo ha sviluppato un tool di analisi automatizzata chiamato CRXcavator. Questo strumento permette di esaminare i vari elementi che determinato il livello di sicurezza delle estensioni di Chrome.
CRXcavator esegue infatti diverse procedure:
- genera una lista dei siti web che vengono contattati dall'estensione, essi infatti potrebbero essere usati per inviare dati verso server di terze parti o per caricare codice malevolo.
- analizza le librerie JavaScript di terze parti alla ricerca di vulnerabilità note;
- analizza la CSP (Content Security Policy) dell'estensione per identificare quali sono i domini con cui essa può comunicare. I domini consentiti dal CSP sono solitamente fonti affidabili come ad esempio VirusTotal, ThreatExchange e SSL Labs;
- esegue una scansione per possibili funzioni "dannose" ed eventuali "punti d'accesso" presenti nell'estensione;
- analizza e visualizza i metedati, come ad esempio il numero di utenti o i link alla privacy policy.
CRXcavator si basa su AWS Lambda, la piattaforma Function as a Service di Amazon. Tramite l'infrastruttura Cloud dell'azienda americana il team di Duo è riuscito ad analizzare 120.463 estensioni presenti nel Chrome Web Store.
Dai dati raccolti è emerso che diversi sviluppatori hanno scelto di non limitare l'accesso ai dati dell'utente alle librerie di terze parti implementate. Ben il 35% delle estensioni è inoltre in grado di leggere i dati dell'utente durante la navigazione.
Il 32% delle estensioni usa invece librerie di terze prati con delle vulnerabilità note. L'85% degli sviluppatori sembra poi non adottare una policy per la privacy (o non la rende pubblica).
Il 77% di questi addon non ha un sito Web dove l'utente può richiedere supporto, mentre il 78% di essi non ha nemmeno una CSP definita. Malgrado Google abbia più volte dichiarato di voler rafforzare le procedure di controllo delle estensioni, appare chiaro come ci sia ancora molto da fare per migliorare il grado di sicurezza garantito.
Via Duo