13 ноября, 2024

SolusNews.com

Последние новости

Исследование показало, что тысячи расширений браузера подвергают риску пользовательские данные

Исследование показало, что тысячи расширений браузера подвергают риску пользовательские данные

Авторское право: Pixabay/CC0 Public Domain

Расширения браузера, представляющие собой дополнения к программному обеспечению, которые помогают пользователям настраивать и улучшать веб-браузеры, стали очень популярными. Некоторые из наиболее часто используемых расширений помогают находить торговые предложения, исправлять грамматические и орфографические ошибки, управлять паролями или переводить веб-страницы. Типы доступных аксессуаров практически безграничны, и многие из них стали незаменимыми инструментами для бизнеса и обычных пользователей.

Хотя эти надстройки могут сделать просмотр веб-страниц проще, продуктивнее и полезнее, они не лишены риска. Новое исследование Технологического института Джорджии показывает, что тысячи надстроек браузера представляют собой серьезную угрозу конфиденциальности и что сотни надстроек автоматически извлекают личный пользовательский контент с веб-страниц, что затрагивает миллионы пользователей Интернета.

Группа исследователей под руководством Фрэнка Ли, доцента Школы кибербезопасности и конфиденциальности и Школы электротехники и компьютерной инженерии, и докторанта Чэньцзе Ши разработала новую систему, которая отслеживает, собирают ли расширения браузера пользовательский контент из веб-страницы.

Команда, в которую также входят Пол Пирс, доцент Школы кибербезопасности и конфиденциальности и Школы компьютерных наук, и Манодж Винеш Каси Мурали, выпускник Технологического института Джорджии, представили Исследовательская работа в Симпозиум по безопасности UsenixКонференция по кибербезопасности в августе.

«Из предыдущих исследований мы знаем, что расширения браузера собирают активность пользователей и журналы в браузере, но некоторые из наиболее конфиденциальных пользовательских данных находятся на веб-страницах, например, электронные письма, профили в социальных сетях, медицинские записи, банковская информация и многое другое», Ли сказал также личные данные с этих страниц».

Команда разработала веб-фреймворк Arcanum, чтобы проверить, могут ли расширения автоматически извлекать пользовательские данные с веб-страниц. Они использовали систему для изучения каждого дополнения (более 100 000), доступного в Интернет-магазине Chrome. В частности, они использовали систему для отслеживания того, извлекают ли расширения пользовательские данные с семи популярных веб-сайтов, которые, как известно, содержат конфиденциальную информацию: Amazon, Facebook, Gmail, Instagram, LinkedIn, Outlook и PayPal.

Исследователи отмечают, что сбор конфиденциальных и личных данных расширениями браузера является обычным явлением. Они выявили более 3000 расширений браузера, которые автоматически собирают пользовательские данные, затрагивая десятки миллионов пользователей. Более 200 расширений брали конфиденциальные пользовательские данные прямо с веб-страниц и загружали их на серверы.

Иногда расширения браузера собирают пользовательские данные по законным причинам, например, когда собранные данные связаны с функцией или назначением расширения. По этой причине может быть сложно определить цель поведения расширения при сборе данных.

Для дальнейшего расследования исследователи взяли выборку помеченных надстроек и сравнили поведение каждого дополнения по сбору данных с его политикой конфиденциальности и описанием интернет-магазина, которое должно объяснять, как надстройка будет использоваться и какую информацию она будет передавать. собирать. Это позволило исследователям выяснить, могут ли пользователи обоснованно ожидать, что расширения будут автоматически собирать их данные в рамках своей функции.

В этой выборке исследователи обнаружили, что ни один из них четко не описал автоматизированный сбор пользовательских данных в своей политике конфиденциальности или описании своего интернет-магазина.

«К сожалению, те же возможности, которые расширения используют для расширения возможностей просмотра веб-страниц, могут быть использованы во вред конфиденциальности пользователей, возможно, без ведома или явного согласия пользователей», — сказал Ши. «Даже в тех случаях, когда сбор данных безобиден и необходим для законных функций, он представляет угрозу конфиденциальности. Конфиденциальные пользовательские данные могут быть переданы и сохранены третьей стороной, которая может передать данные дальше или, возможно, вызвать утечку данных во время утечки данных».

По мнению исследователей, их результаты показывают, что такие компании, как Google, могут устанавливать более строгие политики конфиденциальности для расширений или более широко применять существующие политики. Крупные компании, которые собирают конфиденциальные данные о своих пользователях, также могут усилить меры по защите своих клиентов.

«Я не думаю, что отдельные пользователи должны нести бремя беспокойства о своей конфиденциальности или защите своих данных, потому что у них может не быть возможности или технических знаний, чтобы знать, что происходит», — сказал Ли. «Цель этого типа работы — донести эти проблемы до организаций или заинтересованных сторон, которые могут повлиять на сбор данных, в надежде, что они помогут им улучшить конфиденциальность пользователей».

Для получения дополнительной информации:
Ченг Ши и др., Arcanum: Обнаружение и оценка рисков конфиденциальности, создаваемых расширениями браузера на веб-страницах и веб-контенте.33-й симпозиум USENIX по безопасности, 14–16 августа 2024 г.

Предоставлено Технологическим институтом Джорджии.

МученичествоИсследование показало, что тысячи браузерных расширений подвергают риску пользовательские данные (17 сентября 2024 г.). Получено 17 сентября 2024 г. с https://techxplore.com/news/2024-09-thousands-browser-extensions-compromise-user.html.

Этот документ защищен авторским правом. Несмотря на любую добросовестную деловую деятельность в целях частного изучения или исследования, никакая ее часть не может быть воспроизведена без письменного разрешения. Содержимое предоставлено исключительно в информационных целях.

READ  Отчет: версия CSGO Source 2 появится вместе с бета-версией Counter-Strike 2 «Очень скоро»