Nieuws
image

Kwart Google Chrome extensies bevat privacylek

maandag 3 oktober 2011, 17:37 door Redactie, 7 reacties

Meer dan een kwart van de Google Chrome extensies lekt gevoelige gegevens zoals wachtwoorden en surfgeschiedenis aan WiFi- en webaanvallers. Dat stellen onderzoekers Nicholas Carlini, Adrienne Porter Felt en Prateek Saxena, die honderd extensies onderzochten. Het ging om de vijftig populairste en vijftig willekeurige extensies. Er werd gekeken naar beveiligingslekken, zoals het injecteren van JavaScript en scripts in het "hart" van de extensie.

27 van de 100 extensies hadden minstens één beveiligingslek, waaronder zeven extensies met meer dan 300.000 gebruikers elk. De namen blijven geheim, aangezien de lekken nog niet zijn verholpen. Het volledige rapport verschijnt dan ook pas over zes weken, zodat ontwikkelaars voldoende tijd hebben om hun extensie te patchen.

WiFi-netwerken
Het probleem zit in de manier waarop de extensie met geïnjecteerde scripts omgaan. Een aanvaller kan door het injecteren van kwaadaardige JavaScript de extensie overnemen. Als oplossing wordt ontwikkelaars geadviseerd om Content Security Policies (CSP) te volgen, dat het injecteren van JavaScript voorkomt.

Zo zouden 28 van de gevonden lekken (57%) zijn te voorkomen door het instellen van een CSP die HTTP scripts blokkeert. Gebruikers moeten vooral opletten bij het gebruik van openbare draadloze netwerken, aangezien de meeste lekken (24%) zich hier voordoen.

Reacties (7)
03-10-2011, 18:25 door Anoniem
Ik zie geen probleem, mensen die Google-producten gebruiken hebben sowieso hun privacy al vaarwel gezegd.
03-10-2011, 18:38 door Eerde
Niet echt spannend zonder vergelijk met andere browsers !
03-10-2011, 19:57 door P5ycH0
Google Chrome is een privacy lek !
04-10-2011, 08:04 door Walter
Door P5ycH0: Google Chrome is een privacy lek !
I second that!!
Als je dan perse de snelheid van Chrome wilt gebruiken, installeer dan Iron.
Nog een groot nadeel van Chrome: De software wordt in het profiel van de gebruiker geinstalleerd. Hierdoor is het dus op een multi-user PC onbruikbaar (want iedere gebruiker moet het dan opnieuw installeren voor zichzelf).
04-10-2011, 08:24 door Anoniem
"Gebruikers moeten vooral opletten bij het gebruik van openbare draadloze netwerken, aangezien de meeste lekken (24%) zich hier voordoen."

Volgens heeft de vraag of een extensie lek is -niets- te maken met het gebruik van draadloze netwerken. Is het niet zo dat de meeste aanvallen zich hier voordoen, in plaats van de meeste lekken ?
04-10-2011, 09:35 door Anoniem
Heel veel extensies van Chrome zijn ook beschikbaar in FireFox. Geldt het security probleem daar dan niet?
04-10-2011, 12:41 door choi
Door Anoniem: Heel veel extensies van Chrome zijn ook beschikbaar in FireFox. Geldt het security probleem daar dan niet?

De code van een extensie moet worden aangepast (meestal wordt die totaal herschreven) om te kunnen werken onder een specifieke browser en met de API (zeg maar de software die de communicatie tussen de browser en de extensie verzorgt) van die browser.

Je kan dus niet zonder meer stellen dat een probleem dat zich voor doet in Ghostery (in noem maar een extensie die voor verschillende browsers beschikbaar is) onder Chrome zich ook voor zal doen onder Firefox.

Overigens geldt dit ook voor de functionaliteit van de extensie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure