Разработчики сервиса для проверки безопасности браузерных дополнений CRXcavator опубликовали результаты анализа рисков при использовании дополнений, представленных в каталоге Chrome Web Store. В ходе исследования было изучены полномочия более 120 тысяч дополнений для Chrome. В итоге было выяснено, что:
- 31.8% дополнений используют сторонние библиотеки, в которых имеются известные уязвимости.
- 35.4% дополнений запрашивают полномочия, позволяющие полностью получить доступ к данным пользователя на любых сайтах.
- 15% применяют уязвимые библиотеки и имеют полномочия для доступа к пользовательским данным на сайтах.
- 9% дополнений имеют полномочия для чтения всех Cookie пользователя;
- 77.3% дополнений не имеют собственного сайта.
- 84.7% дополнений не определяют правила обработки конфиденциальных данных.
- 78.3% не определяют CSP (Content Security Policies).
- 99% не ограничивают источник загружаемых данных (default-src и connect-src) через CSP.
