Kwart Google Chrome extensies bevat privacylek
Meer dan een kwart van de Google Chrome extensies lekt gevoelige gegevens zoals wachtwoorden en surfgeschiedenis aan WiFi- en webaanvallers. Dat stellen onderzoekers Nicholas Carlini, Adrienne Porter Felt en Prateek Saxena, die honderd extensies onderzochten. Het ging om de vijftig populairste en vijftig willekeurige extensies. Er werd gekeken naar beveiligingslekken, zoals het injecteren van JavaScript en scripts in het "hart" van de extensie.
27 van de 100 extensies hadden minstens één beveiligingslek, waaronder zeven extensies met meer dan 300.000 gebruikers elk. De namen blijven geheim, aangezien de lekken nog niet zijn verholpen. Het volledige rapport verschijnt dan ook pas over zes weken, zodat ontwikkelaars voldoende tijd hebben om hun extensie te patchen.
WiFi-netwerken
Het probleem zit in de manier waarop de extensie met geïnjecteerde scripts omgaan. Een aanvaller kan door het injecteren van kwaadaardige JavaScript de extensie overnemen. Als oplossing wordt ontwikkelaars geadviseerd om Content Security Policies (CSP) te volgen, dat het injecteren van JavaScript voorkomt.
Zo zouden 28 van de gevonden lekken (57%) zijn te voorkomen door het instellen van een CSP die HTTP scripts blokkeert. Gebruikers moeten vooral opletten bij het gebruik van openbare draadloze netwerken, aangezien de meeste lekken (24%) zich hier voordoen.
Als je dan perse de snelheid van Chrome wilt gebruiken, installeer dan Iron.
Nog een groot nadeel van Chrome: De software wordt in het profiel van de gebruiker geinstalleerd. Hierdoor is het dus op een multi-user PC onbruikbaar (want iedere gebruiker moet het dan opnieuw installeren voor zichzelf).
Volgens heeft de vraag of een extensie lek is -niets- te maken met het gebruik van draadloze netwerken. Is het niet zo dat de meeste aanvallen zich hier voordoen, in plaats van de meeste lekken ?
De code van een extensie moet worden aangepast (meestal wordt die totaal herschreven) om te kunnen werken onder een specifieke browser en met de API (zeg maar de software die de communicatie tussen de browser en de extensie verzorgt) van die browser.
Je kan dus niet zonder meer stellen dat een probleem dat zich voor doet in Ghostery (in noem maar een extensie die voor verschillende browsers beschikbaar is) onder Chrome zich ook voor zal doen onder Firefox.
Overigens geldt dit ook voor de functionaliteit van de extensie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.