Meer dan een kwart van de Google Chrome extensies lekt gevoelige gegevens zoals wachtwoorden en surfgeschiedenis aan WiFi- en webaanvallers. Dat stellen onderzoekers Nicholas Carlini, Adrienne Porter Felt en Prateek Saxena, die honderd extensies onderzochten. Het ging om de vijftig populairste en vijftig willekeurige extensies. Er werd gekeken naar beveiligingslekken, zoals het injecteren van JavaScript en scripts in het "hart" van de extensie.

27 van de 100 extensies hadden minstens één beveiligingslek, waaronder zeven extensies met meer dan 300.000 gebruikers elk. De namen blijven geheim, aangezien de lekken nog niet zijn verholpen. Het volledige rapport verschijnt dan ook pas over zes weken, zodat ontwikkelaars voldoende tijd hebben om hun extensie te patchen.

WiFi-netwerken
Het probleem zit in de manier waarop de extensie met geïnjecteerde scripts omgaan. Een aanvaller kan door het injecteren van kwaadaardige JavaScript de extensie overnemen. Als oplossing wordt ontwikkelaars geadviseerd om Content Security Policies (CSP) te volgen, dat het injecteren van JavaScript voorkomt.

Zo zouden 28 van de gevonden lekken (57%) zijn te voorkomen door het instellen van een CSP die HTTP scripts blokkeert. Gebruikers moeten vooral opletten bij het gebruik van openbare draadloze netwerken, aangezien de meeste lekken (24%) zich hier voordoen.