菜单
中文 (简体)

新研究表明,Google 在清除不良扩展方面上失败了

Google Chrome 浏览器是最流行的桌面浏览器,其市场份额高达 66%,拥有 16 亿活跃用户。浏览器的扩展程序数量也同样惊人:Chrome 网上商城(CWS)中列出超过 12,5 万个扩展程序。然而,该浏览器以及其扩展程序大受欢迎的背后,也有其阴暗的一面。根据斯坦福大学的一项研究,Google 的能力有限,几乎无法控制庞大的扩展帝国。

研究人员发现,尽管 Google 据说可以使用机器学习和人工审核相结合的方法对每个扩展程序进行严格检查,但其主要目标,即确保扩展程序的使用安全,却远远没有达到。

jzpyesm

报告称,研究人员称之为「安全值得关注的扩展」(Security-Noteworthy Extensions,简称 SNE)的潜在有害和危险的扩展所带来的风险规模非常巨大。研究称,在过去三年中,超过 3.46 亿用户至少安装了一个 SNE。其中,2.8 亿用户下载了含有恶意软件的扩展程序,6330 万用户安装了违反 CWS 政策的扩展程序,290 万用户安装了已知存在漏洞的扩展程序。

即使不考虑违反策略和易受攻击的扩展,这些扩展也不会对电脑造成严重的安全威胁,但仍有 2.8 亿个充满恶意软件的扩展会释放出一系列威胁,从恶意广告轰炸用户到隐形跟踪和监视用户,同时还有可能窃取登录认证信息等敏感数据。

简而言之,这些数据意味着数百万用户在不知不觉中暴露在了,从数据窃取到隐私侵犯的各种威胁之下,而他们却以为自己在浏览器添加了一项有用的功能。

危险扩展程序在 Chrome 浏览器商店徘徊多年

尤其令人担忧的是,良性扩展(不危及个人隐私安全的扩展)在 Chrome 浏览器商店中的停留时间往往少于易受攻击的扩展。研究人员发现,良性扩展的平均停留时间为 1152 天,而易受攻击扩展的平均停留时间为 1248 天,超过 3 年。虽然含有恶意软件的扩展的平均停留时间要短得多,但它们在 CWS 中的停留时间仍超过一年(380 天)。

至于中位数,良性的中位数(780 天)明显低于低质的中位数(1213 天)。

正如研究人员所指出的,“该问题非常严重,因为这类扩展程序会使用户的安全和隐私长年处于危险之中”。

恶意扩展程序的平均寿命令人担忧,但有一些更糟糕的情况。研究人员发现了一个令人震惊的例外情况:一个名为 “TeleApp” 恶意软件扩展在 CWS 中停留了惊人的 8.5 年!TeleApp 最后一次更新时间是 2013 年 12 月,距今已有 10 多年时间,但软件一直瞒天过海,直到 2022 年 6 月才下架了。

同样令人不安的是,受恶意软件影响的扩展程序的平均用户数量超过良性扩展程序。研究显示,良性扩展的平均用户数量为 1.1 万,而含有恶意软件的扩展的用户数量是良性扩展的两倍多,达到 2.7 万。

如何判断不良扩展?

Google 在审查扩展和剔除“烂苹果”方面似乎做得并不好。此外,正如研究人员所指出的,虽然 Google 工程师“似乎通过审查程序寻找含有恶意软件或违反政策的扩展”(引出“似乎”一词),但他们显然没有工具或程序来检测易受攻击的扩展。

研究人员将易受攻击的扩展程序定义为代码中包含弱点的扩展程序,这些弱点一旦被攻击者利用,就会引发大范围的恶意攻击,如窃取用户数据或在用户访问的每个网站上注入恶意脚本。这意味着,大量潜在危险的扩展程序仍然是 Google 的一个黑点。

那么,如果 Google 难以分辨和赶走“坏人”,用户自己能否挺身而出,亲自动手呢?理想情况下,可以。然而,正如研究人员所指出的,这在实践中很难实现,因为至少从第一眼来看,SNE 扩展程序并不能真正从众多扩展程序中脱颖而出。

例如,研究人员发现,至少可以说,评级并不是衡量可信度的最佳指标。虽然有相当一部分恶意扩展(52%)和易受攻击的扩展(47%)完全没有评级,但也有数量惊人的良性扩展(32%)缺少评分。更令人担忧的是,所有扩展的评级中位数仍然很高:良性和违反政策的扩展为 5 分,含有恶意软件的扩展为 4.9 分,易受攻击的扩展为 4.5 分。正如研究人员所指出的,这表明用户普遍忽视了他们所安装的扩展程序的真实性质和相关风险。虽然不能排除虚假或被操纵的评论,但这似乎伤敌一千,自损八百,既影响良性扩展,也影响恶意扩展。

那么,如果不能真正相信评论,该怎么知道某个扩展是好是坏呢?虽然没有万无一失的指标,但你最好的选择可能是查看开发者的记录,至少研究表明是这样。

开发商声誉:一个线索

有趣的是,研究表明,平均而言,至少拥有一个恶意扩展的开发者往往比至少拥有一个良性扩展的开发者发布更多具有安全价值的扩展。因此,论文指出,“发布过 1 个恶意扩展的开发者平均会发布 3.6 个良性扩展、4.9 个含有恶意软件的扩展、1.4 个违反政策的扩展和 0.00093 个易受攻击的扩展”。

奇怪的是,研究人员发现有 30 名开发人员每人拥有 100 多个含恶意软件的扩展。

不过,在这里恶意扩展和易受攻击扩展之间出现了一个关键的区别。虽然恶意软件和侵犯隐私的扩展通常来自惯犯,但发布易受攻击扩展的开发者似乎也有较高比例的良性扩展,这表明这些漏洞可能是在实施过程中无意犯下的错误。

不良扩展程序往往会要求更多权限

研究人员发现,与良性扩展相比,安全值得关注的扩展(SNE)需要更多的数据访问权限,这并不令人感到意外。含有恶意软件和易受攻击的扩展请求的 API 权限中位数为 4,而违反策略的扩展需要 2,良性扩展只需要 1。

最终,扩展权限越多,攻击面就越大。

有趣的是,良性扩展和 SNE 似乎都使用类似的 API 来实现功能。关键区别在于 ‘topSites’ 权限,它允许访问用户访问最多的网站。在恶意扩展程序中,该权限排名第二(有 4000 多个扩展程序使用),但在其他类别的扩展程序中,该权限没有进入前 10 名。这可能与恶意软件在新标签页上“劫持”你的主页有关,这种功能需要 ‘topSites’ 权限。

然而,当我们查看主机权限(访问特定网站)时,情况就发生了变化。允许访问所有 URL 的权限,如 <all_urls>http://,在良性和易受攻击的扩展中很流行。与此相反,恶意软件和违反策略的扩展经常以特定的 Google 子域为目标。这表明恶意软件开发者可能有意回避那些会触发 Google 审查并可能将其扩展标记为恶意的权限。

更新情况如何?

多年未更新的扩展程序是漏洞的一大来源,因此也是用户面临风险的一大来源,这些扩展程序更容易因未修补的安全漏洞而受到各种攻击。

研究人员发现,在所有可用的扩展程序中,有 60% 从未更新过,这使它们成为被利用和入侵的“首要目标”。也许更令人震惊的是,在已知存在漏洞的扩展程序中,有一半(这意味着它们的漏洞已被公开报告)在其漏洞被披露后的两年内仍未在 Chrome 浏览器商店中打补丁。

总结

随着用户越来越依赖扩展程序提升浏览体验,我们认为开发者和平台管理者(这里指的是 Google)都有责任将安全放在首位。在涉及恶意软件的扩展程序时,Google 的作用尤为关键,因为这些扩展程序是开发者设计出来的。
加强监控、更严格地执行政策和改进用户教育是降低这些风险并确保为全球数百万 Chrome 浏览器用户提供更安全的浏览环境的关键步骤。


在社交媒体上讨论

喜欢这篇文章吗?
19,314 19314 用户评论
完美!

AdGuard Windows版

Windows 版 AdGuard 不只是广告拦截程序,它是集成所有让您享受最佳网络体验的主要功能的多用途工具。其可拦截广告和危险网站,加速网页加载速度,并且保护儿童的在线安全。
下载本程序表示您接受 许可协议 的条款
阅读更多
19,314 19314 用户评论
完美!

AdGuard Mac版

Mac 版 AdGuard 是一款独一无二的专为 MacOS 设计的广告拦截程序。除了保护用户免受浏览器和应用程序里恼人广告的侵扰外,应用程序还能保护用户免受跟踪、网络钓鱼和诈骗。
下载本程序表示您接受 许可协议 的条款
阅读更多
19,314 19314 用户评论
完美!

AdGuard Android版

安卓版的 AdGuard 是一个用于安卓设备的完美解决方案。与其他大多数广告拦截器不同,AdGuard 不需要 Root 权限,提供广泛的应用程序管理选项。
下载本程序表示您接受 许可协议 的条款
阅读更多
19,314 19314 用户评论
完美!

AdGuard iOS版

用于 iPhone 和 iPad 的最佳 iOS 广告拦截程序。AdGuard 可以清除 Safari 中的各种广告,保护个人隐私,并加快页面加载速度。iOS 版 AdGuard 广告拦截技术确保最高质量的过滤,并让用户同时使用多个过滤器。
下载本程序表示您接受 许可协议 的条款
阅读更多
19,314 19314 用户评论
完美!

AdGuard 内容拦截程序

AdGuard 内容拦截器可消除那些支持内容拦截器技术的移动浏览器内的各种广告 —— 具体为 Samsung Internet 和 Yandex.Browser。虽然 AdGuard 内容拦截器相比于 AdGuard 安卓版受更多限制,但其不仅是免费的,而且也易于安装。 还提供较高的广告拦截品质。
下载本程序表示您接受 许可协议 的条款
阅读更多
19,314 19314 用户评论
完美!

AdGuard 浏览器扩展

AdGuard 是快速的、小内存的广告拦截扩展,可高效拦截所有网页上的各种广告!选择所需的 AdGuard 浏览器扩展,您可进行无广告、快速、安全的浏览。
19,314 19314 用户评论
完美!

AdGuard 助手

AdGuard 桌面应用 的配套浏览器扩展。它为浏览器提供了访问自定义元素阻止,将网站列入白名单或发送报告等功能
19,314 19314 用户评论
完美!

AdGuard DNS

AdGuard DNS 是广告拦截、隐私保护及家长控制的简约三合一解决方案。其不但易于设置且免费,无论您使用的是何种平台或设备,都可以提供最基础的保护对抗在线广告、跟踪器及钓鱼。
19,314 19314 用户评论
完美!

AdGuard Home

AdGuard Home 是一款全网广告拦截与反跟踪软件。在您将其安装完毕后,它将保护您所有家用设备,同时您不再需要安装任何客户端软件。随着物联网与连接设备的兴起,掌控您自己的整个网络环境变得越来越重要。
19,314 19314 用户评论
完美!

AdGuard Pro iOS 版

AdGuard Pro 为已经优秀的 Safari 正规版本提供了更卓越的广告拦截服务。通过自定义 DNS 设置可拦截各种广告、保护儿童远离成人内容和保持您个人数据的安全。不过很抱歉,由于中国国内的一些限制,AppStore 暂不提供该应用程序,因此中国地区苹果 ID 账号的用户暂时无法下载 AdGuard Pro。
下载本程序表示您接受 许可协议 的条款
阅读更多
19,314 19314 用户评论
完美!

AdGuard Safari 版

由于 Apple 开始强制要求开发者使用其新的 SDK,面向 Safari 提供的广告拦截扩展正面临一段艰难时光。AdGuard 扩展正致力于将高质量广告拦截功能重新带给 Safari 用户。
19,314 19314 用户评论
完美!

AdGuard Temp Mail

免费的临时电子邮件地址生成器,保持匿名性并保护个人隐私。你的主收件箱中不会出现垃圾邮件!
19,314 19314 用户评论
完美!

AdGuard Android TV 版

Android TV版 AdGuard 是唯一一款能拦截广告、保护隐私并充当智能电视防火墙的应用程序。获取网络威胁警告,使用安全 DNS,并受益于加密流量。有了安全性和零广告的使用体验,用户就可以尽情享受最喜爱的节目了!
已开始下载 AdGuard 点击箭头指示的文件开始安装 AdGuard。 选择“打开”并点击“确定”,然后稍作等待直至文件加载完毕。在已经打开的窗口中,将 AdGuard 图标拖拽至“Applications”文件夹内即可完成安装。感谢您选择 AdGuard! 选择“打开”并点击“确定”,然后稍作等待直至文件下载完毕。然后,在打开的窗口中点击“安装”即可。感谢您选择 AdGuard!
将 AdGuard 安装到移动设备上