logo标签列表

Chrome扩展程序是否可以访问Chrome应用程序?

securitygoogle-chromegoogle-chrome-extensiongoogle-chrome-app
3
为了考虑安全性,我想知道Chrome扩展是否可以访问应用程序。我设计了一个处理敏感数据的Chrome应用程序。据我所知,该应用程序在沙箱环境中运行,应该是相当隔离的。如果用户错误地安装了恶意的Chrome扩展,那么该扩展能否拦截/修改应用程序中的任何敏感数据?
请注意,我不考虑Chrome环境之外的其他拦截方式,例如允许某人获得root访问权限等病毒。我只想了解Chrome应用程序比标准独立应用程序更容易受到拦截的程度。
Sebastian
2个回答
1
一方面,在默认环境下,即使具有“调试器”权限,扩展程序也无法触及您应用程序的窗口(例如检查/脚本注入)。您的“本地”数据应该是安全的。
另一方面,我进行了测试并得出结论,webRequest API 将捕捉到您发送的所有XHRs 这包括请求和响应的标头以及请求正文。响应正文目前无法检查;但是,恶意扩展程序可以执行重定向、修改您的请求或取消它。 这被视为安全问题;自Chrome 45以来,扩展程序不再能够拦截其他扩展程序和应用程序的流量。托管的应用程序也被错误地包括在内,但这是一个错误,很快就会得到修复——托管应用程序的流量将像往常一样对webRequest开放。

我不知道其他任何一种扩展可以在没有异常的chrome://flag配置的情况下监视应用程序。

OP 特别询问应用程序,而不是扩展。你真的观察到 webRequest API 能够捕获来自应用程序的请求吗? - Rob W
@RobW 是的,我特意测试过了。<webview> 的流量不会被捕获,而来自应用窗口代码的 XHR 请求则会被捕获。这是否构成安全漏洞? - Xan
@Xan和RobW,感谢你们更详细地研究了这个问题。我取消了接受答案,并且如果您能通过此处、电子邮件或发送错误跟踪链接让我知道最新情况,我会很高兴的。再次感谢。 - SCBuergel
错误目前已隐藏,等待分类。 - Xan
@Sebastian,现在这个漏洞已经公开了,我更新并恢复了答案。 - Xan
显示剩余4条评论
0

扩展或其他应用程序无法访问其他扩展或应用程序中的数据。一个例外可能是syncFileSystem API中的数据,因为扩展可以被授予访问用户Gdrive的权限。

你是否真正测试过这个? - SCBuergel
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接