Het risico dat gebruikers een kwaadaardige browser-extensie downloaden uit de Chrome Web Store (CWS) is volgens securityonderzoekers hoger dan eerder gedacht. Google geeft aan hier al actie op te ondernemen en dat tegenwoordig minder dat 1 procent van de extensies malware bevat.
In een onderzoek op basis van data uit de periode 2020-2023 constateren securityonderzoekers van Stanford University in de VS en het CISPA Helmholtz Center for Information Security in Duitsland dat de CWS best wel veel kwaadaardige extensies bevat. Dit zijn niet alleen browser-extensies die malware verspreiden, maar ook in strijd zijn met bepaalde policies en door fouten kwetsbaar zijn.
Langaanwezige kwaadaardige extensies
In de onderzochte periode installeerden in totaal 346 miljoen gebruikers van de Chrome-browser een extensie. Van alle geïnstalleerde extensies bevatten er 280 miljoen malware en waren er 63 miljoen in strijd met policies. Nog eens 3 miljoen waren kwetsbaar.
Vaak blijven deze specifieke extensies jarenlang in de CWS aanwezig, wat een mogelijke indicatie is dat het beoordelingsproces van extensies door Google niet helemaal op orde is.
Zelfs na ontdekking van kwaadaardige, policy-schendende en kwetsbare extensies blijven deze nog lang in de CWS aanwezig, geven de onderzoekers verder aan. Ongeveer 42 procent van deze extensies is twee jaar na openbaring nog steeds installeerbaar. De langste ontdekte kwaadaardige extensie was 8,5 jaar in de CWS aanwezig.
Veel van de extensies in de CWS waar het over gaat, bevatten kwetsbare JavaScript-libraries. Een derde van álle CWS-extensies gebruikt sowieso een JavaScript-library met een bekende kwetsbaarheid. De onderzoekers ontdekten meer dan 80.000 gevallen die een impact hadden op 500 miljoen eindgebruikers van extensies.
Mogelijke maatregelen
De onderzoekers roepen in hun onderzoek Google op meer aan de security van CWS-extensies te doen. Bijvoorbeeld door deze te scannen op gelijkwaardige code. Vele extensies bevatten dezelfde code, wat een slechte security in de hand werkt. Copy/paste vanuit Stack Overflow, advies van AI-assistenten of het simpel implementeren van verouderde boilerplates of libraries werken het verspreiden van kwetsbare code in de hand.
Volgens de onderzoekers is het zeer belangrijk het beoordelingsproces voor extensies te verbeteren, evenals het inlichten van mogelijk getroffen eindgebruikers.
Verder zou Google iets moeten doen aan het gebrek van onderhoud aan veel extensies. Ongeveer 60 procent van de onderzochte extensies zou nooit een update hebben gekregen en daardoor bepaalde security-aanpassingen hebben gemist, waaronder de Manifest V3-extensieplatformrevisie van Google. Ook zouden extensies op basis van het oude Manifest V2-extensieplatform moeten worden geschrapt. Een hoop werk aan de winkel dus.
Reacties Google
In een reactie geeft Google aan dat het met de veiligheid van extensies in CWS goed is gesteld. Dit jaar zou minder dan 1 procent van de aangeboden extensies mogelijk kwetsbaar zijn. Geheel schoon is CWS niet, zo erkent Google, aangezien extensies -zoals alle software- ‘altijd wel een risico kunnen bevatten’.
De techgigant neemt maatregelen zoals het bieden van een persoonlijk overzicht van alle geïnstalleerde extensies aan gebruikers, het grondig onderzoeken van extensies (zowel automatisch als door menselijke experts) voordat ze in de CWS terecht komen, en het voortdurend controleren van deze extensies na publicatie.
In een reactie aan The Register geeft Google aan verouderde Manifest V2-extensies vanaf deze maand niet meer te ondersteunen en dat Manifest V3 veel van de genoemde problemen oplost. Google zegt ook recent nieuwe tooling te hebben geïntroduceerd die gebruikers beter wijst op mogelijk risicovolle extensies. Het bedrijf zegt in deze tooling te blijven investeren.
Lees ook: Extensieplatform van Chrome is ‘misleidend’, zegt privacy-activist