谷歌Chrome浏览器插件安全报告被质疑:实际风险远超官方声明
谷歌Chrome浏览器插件安全报告被质疑:实际风险远超官方声明
谷歌Chrome浏览器在全球市场占据65%以上的份额,其安全性一直备受关注。近日,斯坦福大学和CISPA的研究人员发布了一份关于Chrome浏览器插件安全性的调查报告,揭示了令人震惊的事实:在2020年7月至2023年2月期间,约有3.46亿用户安装了存在安全风险的浏览器插件,其中包括2.8亿个包含恶意软件的插件。这一数据与谷歌官方声称的"恶意软件占比不到1%"形成了鲜明对比。
毫无疑问,目前智能手机已成为普通人最重要的信息终端,传统的PC台式机已相对没落。但是,在工作生产力方面,台式机仍然拥有智能手机所无法比拟的优势,仍是主流,智能手机无法完全彻底取代台式机。
在这种情况下,桌面版浏览器仍然有一定的市场,而这个市场谷歌Chrome浏览器是绝对的一哥,目前在全球市场上占据65%以上的份额。
多年来,谷歌一直对其Chrome浏览器的表现非常满意、自豪,包括安全性。6月20日,谷歌发布了一份安全报告声称,目前总共有超过25万个Chrome浏览器插件扩展程序,“截止2024年,已发现的恶意软件占比不到1%,我们为这一记录感到自豪。”请参阅下图。
俗话说,凡事“帅不过三秒”,近日,来自斯坦福大学和CISPA的研究人员发表了一篇标题为《Chrome应用商店中有什么内容?调查存在安全风险的浏览器扩展》的论文,给出了与谷歌官方所声称的、完全不同的数据。
要理解这篇论文,首先要理解“存在安全风险的浏览器扩展”的定义是什么?
“存在安全风险的浏览器扩展”的英文原文为“Security-Noteworthy Browser Extensions”,其类型和危害程度分很多等级,包括恶意程序、广告程序、滥用权限,收集用户数据的程序和存在严重安全风险、易受攻击的程序等等。
该团队调查发现,在2020年7月至2023年2月期间,共约有3.46 亿用户中招,安装了存在安全风险的浏览器插件。其中6300万个违反政策、300万个存在严重安全风险、易受攻击,2.8亿个包含恶意软件,
——这还是截止2023年的调查报告,因此这份数据仍是偏保守的,实际存在安全风险的插件的数量只会更多。
虽然谷歌方面建议用户对已安装的Chrome浏览器插件评分、并建议其他用户在安装特定插件之前先参考这些评分,但是这种措施的效果非常有限。
因为评判一款浏览器插件是否存在安全风险需要较专业的知识,而这类浏览器插件往往通常善于伪装,另外,这类恶意浏览器插件作者还可能会操纵大量虚假的机器用户刷分。
所以,用户评分很难客观的反映一款Chrome浏览器插件的安全性,甚至有可能会误导其他用户。
最后,需要补充强调的是,存在安全风险的Chrome浏览器插件也不一定是开发者蓄意为之。因为开发者可能会在项目中引用部分第三方的代码,而这类第三方代码后来被发现存在漏洞,导致其开发的浏览器插件也存在漏洞。
并不是所有的Chrome浏览器插件开发者都会在第一时间更新维护,目前Chrome浏览器应用商店中可能还存在大量开发者已停止更新、维护的僵尸插件。
由于这类浏览器上架时间早于漏洞被曝光的时间,所以它们之前成功地通过了谷歌方面的审核,存在于谷歌的Chrome应用商店中,但这并不表示该插件就绝对安全,只是没有及时清理而已。
总体来说,对于台式机Chrome浏览器用户,要谨慎安装Chrome应用商店中的插件,即使它们已经成功的通过了谷歌方面的审查、评分较高,也不能盲目轻信,仍需谨慎。