تعاني العديد من إضافات متصفح الويب جوجل كروم من افتقارها إلى سياسات خصوصية يسهل الوصول إليها، مما يعني عدم وجود مستند ملزم قانونيًا يصف كيفية تعامل مطوري الإضافات مع بيانات المستخدمين، وذلك وفقًا لبحث جديد نشرته شركة Duo Labs الأمنية.
وحللت الشركة التابعة لشركة سيسكو 120463 إضافة وتطبيق في سوق كروم الإلكتروني، وتبين أن 85 في المئة منها ليس لها سياسة خصوصية مدرجة في المنصة.
وتضمنت النتائج حقيقة أن 77 في المئة من إضافات كروم التي تم اختبارها لا تدرج موقع دعم، ويمكن أن تصل نسبة 9 في المئة منها إلى ملفات تعريف الارتباط وقراءتها، وبعض هذه الإضافات تستخدم لعمليات التوثيق.
كما أظهر البحث أن 32 في المئة من الإضافات والتطبيقات تستخدم مكتبات جافا سكريبت تابعة لجهات خارجية تحتوي على ثغرات أمنية معروفة بشكل عام، مما يجعلها عرضة لهجمات من مواقع الويب الضارة.
ونشرت Duo Labs البحث لإلقاء الضوء على مخاطر إضافات كروم غير المطابقة للمواصفات. وبالرغم من أن الإضافات تحظى بشعبية كبيرة، ويستخدمها الملايين، إلا أنها قد تعرض الحاسب لأخطار القرصنة المحتملة.
موضوعات ذات صلة بما تقرأ الآن:
وتطلب ما نسبته 35 في المئة من جميع إضافات كروم الحصول على أذونات لقراءة البيانات في أي صفحات ويب يتم تحميلها من متصفح المستخدم، وهي صلاحيات يمكن إساءة استخدامها لانتهاك الخصوصية.
وكان المخترقون قد نجحوا في حالات نادرة بالاستيلاء على إضافات كروم، إذ تمكن أحد الأشخاص خلال العام الماضي من تحميل إصدار ضار من خدمة التخزين السحابية Mega.nz إلى متجر كروم الإلكتروني الرسمي.
وجرى استخدام ذلك الإصدار لسرقة بيانات تسجيل الدخول من حسابات الأشخاص، وحصل ذلك عن طريق طلب أذونات عالية المستوى من المستخدمين لجمع النصوص من صفحات الويب المحملة.
وتحتاج العديد من إضافات كروم إلى القدرة على قراءة البيانات من صفحات الويب حتى تعمل، مثل في إضافة تصحيح الأخطاء الإملائية أثناء الكتابة، أو ترجمة النص الذي يظهر على موقع الويب، أو المساعدة في تنظيم رسائل البريد الإلكتروني.
واتخذت جوجل خطوات لتعزيز الأمان المتعلق بإضافات الأطراف الثالثة لمنع مخاطر الاختراق. ويظهر البحث أنه لا يجب افتراض أن إضافات الأطراف الثالثة آمنة وأنها تحترم الخصوصية الرقمية.
ووفقًا لشركة Duo Labs، فإنه ليس من الصعب على المطورين المسؤولين عن الإضافات نشر سياسة خصوصية على متجر كروم الإلكتروني وتحديث مكتبات الإضافات والتطبيقات عبر استخدام أحدث الإصدارات.
تجدر الإشارة إلى إمكانية استخدام خدمة CRXcavator المجانية من شركة Duo Labs، والتي تسمح لك بالبحث عن الآثار المترتبة على خصوصية إضافات كروم، وبالرغم من أنها مصممة لمتخصصي أمن تكنولوجيا المعلومات، إلا أن بإمكانها توفير تقرير مفصل عن الأذونات التي تحتاجها الإضافة، وطريقة استخدامها لتلك الأذونات، وعوامل الخطر المحتملة، بما في ذلك الثغرات التي قد تعاني منها الإضافة.