Существуют разногласия по поводу того, насколько распространены вредоносные расширения в интернет-магазине Chrome. Google утверждает, что лишь менее 1% всех установок содержат вредоносное ПО. Однако исследователи из Стэнфордского университета сообщают, что за три года 280 миллионов человек установили зараженные расширения Chrome.
В 2024 году Google заявила, что из более чем 250 000 расширений магазина Chrome менее 1% содержат вредоносный код. Компания признает, что несмотря на успехи в обеспечении безопасности, некоторые вредоносные расширения все же проникают в магазин. Именно поэтому осуществляется постоянный контроль за опубликованными расширениями.
Группа исследователей из Стэнфордского университета и Центра информационной безопасности имени Гельмгольца CISPA изучила вопрос "расширений, требующих внимания с точки зрения безопасности" (Security-Noteworthy Extensions, SNE). К ним относятся расширения, содержащие вредоносный код, нарушающие политику магазина Chrome Web Store или имеющие уязвимости.
За период с июля 2020 года по февраль 2023 года 346 миллионов пользователей установили такие расширения. При этом 63 миллиона установленных расширений нарушали политику магазина, 3 миллиона содержали уязвимости, а 280 миллионов – вредоносный код.
Исследование показало, что безопасные расширения обычно недолго присутствуют в магазине – спустя год доступны лишь 51,8-62,9%. В свою очередь, вредоносные расширения оставались в магазине в среднем 380 дней, а расширения с уязвимостями – 1248 дней. Рекордсменом стало расширение TeleApp, которое содержало вредоносный код, но оставалось доступным 8,5 лет, с последним обновлением от 13 декабря 2013 года, и было удалено только 14 июня 2022 года.
Обычно советуют ориентироваться на пользовательские рейтинги при оценке безопасности приложений и расширений. Однако исследование показало, что это не всегда эффективно.
Исследователи предлагают Google внедрить дополнительный контроль за схожестью кода расширений. Они также указывают на проблему отсутствия обновлений, из-за которой расширения остаются в магазине даже после обнаружения уязвимостей.
