После массовой критики браузера Chrome 69, разработчики из Google всеми силами стараются загладить вину, разрабатывая новые функции, ориентированные на обеспечение конфиденциальности пользовательских данных. Ситуация усугубляется также закрытием Google+, ведь фирменная социальная сеть тоже пострадала от этого. Сейчас Google пытается создать более открытую экосистему, в которой компания намерена раскрывать как можно больше информации пользователям.
Одной из таких попыток стала возможность, которую сейчас тестируют. Речь идёт о контроле активности расширений в браузере. Не секрет, что периодически в магазине расширений Chrome появляются вредоносные плагины со встроенными майнерами, бэкдорами и так далее. И хотя компания старается удалять их, они всё равно оказываются на тысячах пользовательских ПК.
Потому в экспериментальной версии Google Chrome Canary появилась функция, которая мониторит работу расширений и показывает, какие действия те выполняют и какие ресурсы используют. Причём как в прошлом, так и на данный момент — в режиме реального времени. В Chrome Canary её можно активировать следующим образом:
- Нужно запустить браузер с флагом командной строки –enable-extension-activity-logging.
- Перейти на страницу журнала активности для расширения по адресу chrome://extensions/?activity=<extension_id>.
- Нажать на вкладку потока. Запись активности включена по умолчанию, потом можно сразу увидеть, что происходит.
Эта функция в настоящее время доступна для сборки Canary, но скоро должна появиться и в публичной версии.
К слову, создатели сервиса для проверки безопасности браузерных дополнений CRXcavator опубликовали результаты анализа рисков для дополнений из официального магазина Chrome Web Store. Выяснилось, что ситуация далека от оптимальной.
Сообщается, что:
- 31,8 % дополнений используют сторонние библиотеки с известными уязвимостями.
- 35,4 % дополнений требуют полного доступа к данным пользователя на любых сайтах.
- 15 % используют уязвимые библиотеки и имеют доступ к пользовательским данным на сайтах.
- 9 % дополнений могут читать все пользовательские Cookie.
Кроме того:
- 77,3 % дополнений не имеют собственного сайта.
- 84,7 % дополнений никак не определяют правила обработки конфиденциальных данных.
- 78,3 % не определяют CSP (Content Security Policies).
- 99 % расширений не ограничивают источник загружаемых данных через CSP.
Таким образом, использование дополнений Chrome представляет собой «чёрную дыру», куда могут попасть любые секретные данные.