Een derde Chrome-extensies wil toegang tot alle gebruikersgegevens

Meer dan een derde van alle extensies voor Google Chrome vraagt van gebruikers toegang tot al hun gegevens op welke site dan ook. Dat blijkt uit een recent onderzoek naar de meer dan 120.000 Chrome-extensies. Ruwweg 85 procent van die extensies blijkt verder geen privacybeleid te hebben.

Het onderzoeksteam van de Amerikaanse cybersecurityfirma Duo Labs voerde de afgelopen maand een uitgebreid onderzoek uit naar de ruim 120.000 extensies die te vinden zijn in de Chrome Web Store. Dat deden de onderzoekers met behulp van een nieuwe webdienst die ze ontwikkeld hebben: de CRXcavator. Met behulp van die dienst werden alle Chrome-extensies en apps gescand en geanalyseerd.

Uitgebreid onderzoek

Het onderzoek keek onder meer naar de toestemmingen die extensies van gebruikers vragen. Ook werd er gekeken naar de externe domeinen waarmee de extensies communiceren, of ze kwetsbare archieven gebruiken, toegang hebben tot OAuth2-data, bekeken de onderzoekers Content Security Policy (CSP) headers en of de extensie informatie rond het privacybeleid en de ontwikkelaar zelf bevatte.

De resultaten van dat onderzoek zijn vandaag beschikbaar gemaakt op het webportal van CRXcavator. Daar kunnen gebruikers kijken hoe het zit met hun favoriete extensie. Uit het onderzoek blijkt dat een derde van de extensies toegang vraagt tot alle activiteiten van gebruikers op het internet. Verder verwees 77 procent van de extensies niet naar een ondersteuningssite. Ook omvatte 32 procent een JavaScript-archief dat publiekelijk bekende kwetsbaarheden bevatte en kon 9 procent van de extensies toegang krijgen tot cookies.

Zakelijke extensie

Duo Labs lanceert vandaag ook een eigen extensie: de CRXcavator Gatherer Chrome-extensie. Die is ontwikkeld voor zakelijk gebruik en kan door systeembeheerders op het apparaat van een gebruiker geïnstalleerd worden. De extensie verzamelt vervolgens informatie over alle andere extensies die op een apparaat staan, evenals de daaraan verbonden veiligheidsrisico’s.

“Dit stelt organisaties ertoe in staat om precies te weten welke extensies gebruikt worden, wie ze gebruikt en welke risico’s die met zich meebrengen”, aldus de onderzoekers van Duo Labs in een statement. Ook biedt CRXcavator Gatherer de mogelijkheid voor personeel om toestemming te vragen om een bepaalde extensie te installeren. Dat moet wel, want dit soort zaken vormen een van de vele veiligheidsrisico’s waar bedrijven mee te maken hebben.