31% дополнений к Chrome используют библиотеки с известными уязвимостями

Разработчики проекта CRXcavator опубликовали результаты анализа рисков при использовании браузерных дополнений, представленных в каталоге Chrome Web Store. В ходе исследования было изучены полномочия более 120 тысяч дополнений для Chrome. В итоге было выяснено, что:

• 31.8% используют сторонние библиотеки, в которых имеются известные уязвимости.
• 35.4% из всех дополнений запрашивают полномочия, позволяющие полностью получить доступ к данным пользователя на любых сайтах.
• 15% применяют уязвимые библиотеки и имеют полномочия для доступа к пользовательским данным на сайтах.
• 9% дополнений имеют полномочия для чтения всех Cookie пользователя;
• 77.3% дополнений не имеют собственного сайта.
• 84.7% дополнений не определяют правила обработки конфиденциальных данных.
• 78.3% не определяют CSP (Content Security Policies).
• 99% не ограничивают источник загружаемых данных (default-src и connect-src) через CSP.