論文の概要: What is in the Chrome Web Store? Investigating Security-Noteworthy Browser Extensions
- arxiv url: http://arxiv.org/abs/2406.12710v1
- Date: Tue, 18 Jun 2024 15:25:06 GMT
- ステータス: 処理完了
- システム内更新日: 2024-06-19 18:18:55.602123
- Title: What is in the Chrome Web Store? Investigating Security-Noteworthy Browser Extensions
- Title(参考訳): Chrome Web Storeに何があるのか? セキュリティに注目すべきブラウザ拡張を調査中
- Authors: Sheryl Hsu, Manda Tran, Aurore Fass,
- Abstract要約: この論文は、Chrome Web Store(CWS)の全体像を提供するための最初の試みである。
我々はChromeStatsが提供する履歴データを活用して、CWSのグローバルなトレンドとセキュリティへの影響を調査します。
- 参考スコア(独自算出の注目度): 1.2499537119440243
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: This paper is the first attempt at providing a holistic view of the Chrome Web Store (CWS). We leverage historical data provided by ChromeStats to study global trends in the CWS and security implications. We first highlight the extremely short life cycles of extensions: roughly 60% of extensions stay in the CWS for one year. Second, we define and show that Security-Noteworthy Extensions (SNE) are a significant issue: they pervade the CWS for years and affect almost 350 million users. Third, we identify clusters of extensions with a similar code base. We discuss how code similarity techniques could be used to flag suspicious extensions. By developing an approach to extract URLs from extensions' comments, we show that extensions reuse code snippets from public repositories or forums, leading to the propagation of dated code and vulnerabilities. Finally, we underline a critical lack of maintenance in the CWS: 60% of the extensions in the CWS have never been updated; half of the extensions known to be vulnerable are still in the CWS and still vulnerable 2 years after disclosure; a third of extensions use vulnerable library versions. We believe that these issues should be widely known in order to pave the way for a more secure CWS.
- Abstract(参考訳): 本稿は、Chrome Web Store(CWS)の全体像を提供するための最初の試みである。
我々はChromeStatsが提供する履歴データを活用して、CWSのグローバルなトレンドとセキュリティへの影響を調査します。
拡張の約60%が1年間CWSに留まっています。
次に、Security-Noteworthy Extensions(SNE)が重要な問題であると定義し、示す。
第3に、同様のコードベースを持つ拡張のクラスタを特定します。
疑わしい拡張をフラグするコード類似性技術について論じる。
エクステンションのコメントからURLを抽出するアプローチを開発することで、エクステンションがパブリックリポジトリやフォーラムからコードスニペットを再利用し、時代遅れのコードや脆弱性の拡散につながることを示す。
CWSの拡張機能の60%は更新されておらず、脆弱であることが知られている拡張の半数はCWSにあり、開示から2年経ってもまだ脆弱である。
これらの問題は、より安全なCWSの道を開くために広く知られるべきだと考えています。
関連論文リスト
- Protect Your Secrets: Understanding and Measuring Data Exposure in VSCode Extensions [14.381954681512644]
Visual Studio Code(VSCode)におけるクロスエクステンションインタラクションのセキュリティ問題について検討する。
我々の研究は、敵が秘密裏にクレデンシャル関連のデータを入手したり、操作したりできるような、インパクトの高いセキュリティ上の欠陥を発見しました。
当社のツールを現実世界のVSCodeエクステンション27,261に適用することにより、その8.5%がクレデンシャル関連のデータ漏洩にさらされていることが分かりました。
論文 参考訳(メタデータ) (2024-12-01T07:08:53Z) - Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - Consent in Crisis: The Rapid Decline of the AI Data Commons [74.68176012363253]
汎用人工知能(AI)システムは、大量の公開Webデータに基づいて構築されている。
我々は,AIトレーニングコーパスに基づくWebドメインに対する同意プロトコルの大規模かつ長期的監査を行う。
論文 参考訳(メタデータ) (2024-07-20T16:50:18Z) - Did I Vet You Before? Assessing the Chrome Web Store Vetting Process through Browser Extension Similarity [3.7980955101286322]
このタイプのソフトウェアで最大の配布プラットフォームであるChrome Web Store (CWS) におけるマルウェアやその他の侵害拡張の頻度を特徴付ける。
本研究は,侵害拡大の86%が前回の拒否項目と極めて類似しているため,CWS拒否プロセスにおいて大きなギャップがあることを明らかにする。
また,CWSがフラグ付けしたマルウェアの1%がマルウェア対策として悪用されていることも明らかにした。
論文 参考訳(メタデータ) (2024-06-01T09:17:01Z) - FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。
動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。
1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
論文 参考訳(メタデータ) (2024-05-21T19:54:19Z) - EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。
FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。
ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
論文 参考訳(メタデータ) (2024-05-21T06:14:49Z) - Manifest V3 Unveiled: Navigating the New Era of Browser Extensions [53.288368877654705]
2020年、Googleは、2023年1月までに以前のバージョン2(V2)を置き換えることを目的として、Manifest Version 3(V3)による拡張開発の変更を発表した。
本稿では,Manifest V3エコシステムを包括的に分析する。
論文 参考訳(メタデータ) (2024-04-12T08:09:26Z) - Impact of Extensions on Browser Performance: An Empirical Study on Google Chrome [3.000496428347787]
Google Chromeのユーザ認識性能に及ぼすエクステンションの影響を理解するための実証的研究を行った。
我々は,エクステンションが意図しない状況で使用されている場合であっても,エクステンションの使用によってブラウザのパフォーマンスが負の影響を受け得ることを観察した。
コードの複雑さやプライバシプラクティスなど,エクステンションのパフォーマンスへの影響に大きな影響を及ぼす要因のセットを特定します。
論文 参考訳(メタデータ) (2024-04-10T08:31:40Z) - Exposing and Addressing Security Vulnerabilities in Browser Text Input
Fields [22.717150034358948]
ウェブブラウザにおけるテキスト入力フィールドのセキュリティに関する総合的な分析を行う。
ブラウザの粗粒度パーミッションモデルが2つのセキュリティ設計原則に違反していることが分かりました。
入力フィールドに2つの脆弱性を発見した。
論文 参考訳(メタデータ) (2023-08-30T21:02:48Z) - Exploring Security Practices in Infrastructure as Code: An Empirical
Study [54.669404064111795]
クラウドコンピューティングは、Infrastructure as Code (IaC)ツールが広く使われていることで人気を博している。
スクリプティングプロセスは、実践者が自動的に設定ミスや脆弱性、プライバシリスクを導入するのを防ぐものではない。
セキュリティの確保は、実践者が明確な方針、ガイドライン、ベストプラクティスを理解し、採用することに依存する。
論文 参考訳(メタデータ) (2023-08-07T23:43:32Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。