2023年6月25日,网络安全专家发布了一份报告指出,在2020年7月至2023年2月期间,有超过3.46亿Chrome用户安装了问题扩展。这些扩展中超过6300万个存在违反谷歌相关政策的情况,同时还有300万个存在漏洞,另外2.8亿个则包含恶意软件。
这份报告是由斯坦福大学和CISPA赫尔姆霍兹信息安全中心的研究人员Sheryl Hsu、Manda Tran和Aurore Fass共同研究的。他们定义了一个名为Security-Noteworthy Extensions(SNE)的问题扩展,即包含恶意软件、违反Chrome浏览器网络商店政策或包含易受攻击代码的扩展。
研究人员发现,在常规情况下,上架时间超过1年的扩展占Chrome浏览器应用商场所有扩展的比例为51.8%至62.9%。而另一方面,SNE在应用商场中平均停留时间达到了380天(恶意软件),如果其中包含易受攻击的代码,则延长至1248天。
其中一个存活时间最长的SNE名为TeleApp,其上架时间达到8.5年。最后一次更新出现在2013年12月13日,并于2022年6月14日被发现含有恶意软件并被移除。
这份报告指出,评分并不能用于判断某款扩展是否包含恶意软件。研究人员表示:“总的来说,用户并没有给SNE较低的评分,这表明用户可能没有意识到这类扩展是危险的。当然,也有可能是机器人给这些扩展程序提供了虚假评论和高评分。不过,考虑到半数SNE没有评论,因此不太可能大面积使用虚假评论。”
新浪科技公众号
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
