Una ricerca condotta da Duo Security mette in evidenza che un terzo di tutte le estensioni oggi disponibili per Google Chrome richiede il permesso per leggere i dati scambiati con tutte le pagine web e addirittura l’85% degli sviluppatori non ha ancora pubblicato neppure uno straccio di policy sulla privacy. Non è dato sapere, quindi, come i dati degli utenti vengano raccolti e gestiti. Alla faccia del GDPR e di tutte le prescrizioni contenute nella nuova normativa europea.
Sono circa 120.000 le estensioni attualmente pubblicate sul Chrome Web Store e alcune di esse, sempre stando alle risultanze dello studio firmato Duo Security, utilizzerebbero addirittura librerie JavaScript di terze parti già note per la presenza di molteplici vulnerabilità (circa il 32%).
L’imponente ricerca è stata elaborata servendosi di uno strumento recentemente messo a punto da Duo Security: CRXcavator.
CRX è il formato con cui vengono “confezionate” e distribuite le estensioni destinate al browser Chrome: CRXcavator ha permesso di effettuare una scansione dell’intero archivio pubblicato sul Chrome Web Store e analizzare le caratteristiche di ogni componente software.
Questo portale contiene le informazioni estratte da CRXcavator e permette di verificare la potenziale pericolosità di ciascuna estensione per Chrome (a ciascuna di esse viene assegnato un punteggio e, di conseguenza, un livello di rischio).
L’estensione CRXcavator Gatherer, anch’essa pubblicata quest’oggi, permette di ricevere una resoconto omnicomprensivo su tutti i componenti aggiuntivi utilizzati su ogni PC. Gli amministratori di sistema possono così sapere in tempo reale quali estensioni sono utilizzate all’interno dell’ufficio o dell’impresa, chi le sta adoperando e perché, quali tra esse possono nascondere delle insidie.
Fortunatamente le ultime versioni di Google Chrome permettono di revocare i permessi più ampi ed evitare che le estensioni possano monitorare l’intero traffico dati sul web. Per limitare la “libertà d’azione” di ciascuna estensione, suggeriamo di applicare i suggerimenti pubblicati nel nostro articolo Estensioni Chrome: come bloccare quelle troppo affamate di dati.