Duo Security調查：8成Chrome擴充程式缺乏隱私政策

資安業者Duo Security發表CRXcavator服務測試版，可用來檢驗Chrome擴充程式的安全風險，同時公布一份擴充程式分析報告，指出有84.7%的Chrome擴充程式缺乏隱私政策，並有31.8%使用了含有已知安全漏洞的第三方函式庫。

Duo Security指出，微軟從1997年10月發表的IE 4瀏覽器，奠定了以擴充程式來強化瀏覽器功能的基礎，而今，作為網路入口的瀏覽器已成為最主要的攻擊表面，Google的Chrome瀏覽器更占據了全球6成以上的市佔率，凝聚了超過18萬種的擴充程式，使得他們決定探究Chrome擴充程式的安全性，發展CRXcavator服務，掃描Chrome Web Store上的擴充程式並進行分析。

研究發現，Chrome Web Store上除了有惡意的擴充程式之外，也有一些合法或良性的擴充程式具備了可能遭受攻擊的Javascript，或者是採用了含有漏洞的第三方函式庫，也有些是使用者賦予了擴充程式過多的權限，還有些擴充程式雖然通過了企業的審核，隨後的改版卻帶來了漏洞或惡意功能。

目前Chrome Web Store上供應了超過18萬種品項，包括擴充程式、主題及Chrome App，Duo Security僅針對當中約12萬款的擴充程式與Chrome App展開分析。發現當中有84.7%（10.2萬個）擴充程式缺乏隱私政策，77.3%（9.3萬個）沒有列出支援網站，更有31.8%（3.8萬個）採用了含有已知漏洞的第三方函式庫。

使用者或企業也可在CRXcavator網站上，輸入常用的擴充程式以察看它們的風險評分，例如有淘寶國際版之稱的「全球速賣通」（AliExpress）的風險評分高達479，主要是源自於它有283個JavaScript檔案的外部呼叫，索取太多不明許可，以及所使用的RetireJS有兩個安全漏洞等。