毫無疑問,目前智能手機已成為普通人最重要的資訊終端, 傳統的PC桌上型電腦已相對沒落。但是,在工作生産力方面,桌上型電腦仍然擁有智能手機所無法比拟的優勢,仍是主流,智能手機無法完全徹底取代桌上型電腦。
在這種情況下,桌面版浏覽器仍然有一定的市場,而這個市場谷歌Chrome浏覽器是絕對的一哥,目前在全球市場上占據65%以上的份額。
多年來,谷歌一直對其Chrome浏覽器的表現非常滿意、自豪,包括安全性。6月20日,谷歌釋出了一份安全報告聲稱,目前總共有超過25萬個Chrome浏覽器插件擴充程式,“截止2024年,已發現的惡意軟體占比不到1%,我們為這一記錄感到自豪。”請參閱下圖。
俗話說,凡事“帥不過三秒”,近日,來自斯坦福大學和CISPA的研究人員發表了一篇标題為《Chrome應用商店中有什麼内容?調查存在安全風險的浏覽器擴充》的論文,給出了與谷歌官方所聲稱的、完全不同的資料。
要了解這篇論文,首先要了解“存在安全風險的浏覽器擴充”的定義是什麼?
“存在安全風險的浏覽器擴充”的英文原文為“Security-Noteworthy Browser Extensions”,其類型和危害程度分很多等級,包括惡意程式、廣告程式、濫用權限,收集使用者資料的程式和存在嚴重安全風險、易受攻擊的程式等等。
該團隊調查發現,在2020年7月至2023年2月期間,共約有3.46 億使用者中招,安裝了存在安全風險的浏覽器插件。其中6300萬個違反政策、300萬個存在嚴重安全風險、易受攻擊,2.8億個包含惡意軟體,
——這還是截止2023年的調查報告,是以這份資料仍是偏保守的,實際存在安全風險的插件的數量隻會更多。
雖然谷歌方面建議使用者對已安裝的Chrome浏覽器插件評分、并建議其他使用者在安裝特定插件之前先參考這些評分,但是這種措施的效果非常有限。
因為評判一款浏覽器插件是否存在安全風險需要較專業的知識,而這類浏覽器插件往往通常善于僞裝,另外,這類惡意浏覽器插件作者還可能會操縱大量虛假的機器使用者刷分。
是以,使用者評分很難客觀的反映一款Chrome浏覽器插件的安全性,甚至有可能會誤導其他使用者。
最後,需要補充強調的是,存在安全風險的Chrome浏覽器插件也不一定是開發者蓄意為之。因為開發者可能會在項目中引用部分第三方的代碼,而這類第三方代碼後來被發現存在漏洞,導緻其開發的浏覽器插件也存在漏洞。
并不是所有的Chrome浏覽器插件開發者都會在第一時間更新維護,目前Chrome浏覽器應用商店中可能還存在大量開發者已停止更新、維護的僵屍插件。
由于這類浏覽器上架時間早于漏洞被曝光的時間,是以它們之前成功地通過了谷歌方面的稽核,存在于谷歌的Chrome應用商店中,但這并不表示該插件就絕對安全,隻是沒有及時清理而已。
總體來說,對于桌上型電腦Chrome浏覽器使用者,要謹慎安裝Chrome應用商店中的插件,即使它們已經成功的通過了谷歌方面的審查、評分較高,也不能盲目輕信,仍需謹慎。