Chrome 網路商城的惡意擴充問題有多嚴重？這取決於你相信誰。 Google方面稱，在所有安裝的擴充功能中，包含惡意軟體的不到1%。但一群大學研究人員聲稱，在三年時間裡，有2.8 億人安裝了受惡意軟體感染的Chrome 瀏覽器擴充功能。

Google上週表示，在2024 年，Chrome 瀏覽器網路商店（目前包含25 萬多個擴充功能）中只有不到1%的安裝程式被發現包含惡意軟體。該公司補充說，雖然它對自己的安全記錄感到自豪，但仍有一些不良的擴充功能會通過，這就是為什麼它也會對已發布的擴充功能進行監控。安全團隊寫道：”與任何軟體一樣，擴充功能也可能帶來風險。”

史丹佛大學和CISPA 赫爾姆霍茲資訊安全中心的研究人員Sheryl Hsu、Manda Tran 和Aurore Fass 對這些數字進行了精確計算。

正如一篇研究論文中所披露的那樣，三人對Chrome 瀏覽器商店中的安全性值得關注擴展（SNE）進行了檢查。 SNE 被定義為包含惡意軟體、違反Chrome 瀏覽器網路商店政策或包含易受攻擊程式碼的擴充功能。

調查發現，在2020 年7 月至2023 年2 月期間，有3.46 億用戶安裝了SNE。其中6,300 萬個違反了政策，300 萬個存在漏洞，2.8 億個Chrome 瀏覽器擴充功能包含惡意軟體。當時，Chrome 瀏覽器網路商店中有近12.5 萬個擴充功能。

研究人員發現，安全的Chrome 瀏覽器擴充功能通常不會在商店中停留很長時間，一年後仍可使用的擴充功能僅佔51.8 – 62.9%。另一方面，SNE 在商店中的平均停留時間為380 天（惡意軟體），如果包含易受攻擊的程式碼則為1248 天。

存活時間最長的SNE 名為TeleApp，可用了8.5 年，最後一次更新是在2013 年12 月13 日，在2022 年6 月14 日被發現含有惡意軟體，隨後被刪除。

我們經常被建議透過查看使用者評分來判斷應用程式或擴充功能是否是惡意的，但研究人員發現，這對SNE 毫無幫助。作者寫道：「總的來說，用戶並沒有給SNE 較低的評分，這表明用戶可能沒有意識到這類擴展是危險的。」當然，也有可能是機器人給這些擴展程序提供了虛假評論和高評分。不過，考慮到半數SNE 沒有評論，在這種情況下，使用虛假評論似乎並不普遍”。

Google表示，一個專門的安全團隊會向用戶提供他們安裝的擴展的個人化摘要，在擴展發佈到商店之前對其進行審查，並在發布之後對其進行持續監控。研究人員建議Google也監控擴充程式的程式碼相似性。

報告指出：”例如，大約有1000 個擴展程序使用開源Extensionizr 項目，其中65% 至80% 仍在使用六年前最初與該工具打包在一起的默認和有漏洞的庫版本。由於缺乏維護，在漏洞被披露後很長時間內，擴展程序仍在商店中存在。