kth.sePublikationer KTH
EnglishSvenskaNorsk
Ändra sökning
RefereraExporteraLänk till posten
Permanent länk

Direktlänk
Referera
Referensformat
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Annat format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annat språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf
CodeX: Contextual Flow Tracking for Browser Extensions
KTH, Skolan för elektroteknik och datavetenskap (EECS), Datavetenskap, Teoretisk datalogi, TCS. Chalmers University of Technology, Gothenburg, Sweden; University of Gothenburg Gothenburg, Sweden.ORCID-id: 0000-0001-5365-0662
LMU Munich, Munich, Germany.ORCID-id: 0009-0003-8823-0029
Chalmers University of Technology, Gothenburg, Sweden; Gothenburg, Sweden, University of Gothenburg, Gothenburg, Sweden; Mälardalen University, Västerås, Sweden.ORCID-id: 0000-0002-6621-8390
LMU Munich, Munich, Germany.ORCID-id: 0000-0002-8594-7839
Visa övriga samt affilieringar
2025 (Engelska)Ingår i: Proceedings of the Fifteenth ACM Conference on Data and Application Security and Privacy, CODASPY 2025, Association for Computing Machinery (ACM) , 2025Konferensbidrag, Publicerat paper (Refereegranskat)
Abstract [en]

Browser extensions put millions of users at risk when misusing their elevated privileges. Despite the current practices of semi-automated code vetting, privacy-violating extensions still thrive in the official stores. We propose an approach for tracking contextual flows from browser-specific sensitive sources like cookies, browsing history, bookmarks, and search terms to suspicious network sinks through network requests. We demonstrate the effectiveness of the approach by a prototype called CodeX that leverages the power of CodeQL while breaking away from the conservativeness of bug-finding flavors of the traditional CodeQL taint analysis. Applying CodeX to the extensions published on the Chrome Web Store between March 2021 and March 2024 identified 1,588 extensions with risky flows. Manual verification of 339 of those extensions resulted in flagging 212 as privacy-violating, impacting up to 3.6M users.
Ort, förlag, år, upplaga, sidor
Association for Computing Machinery (ACM) , 2025.
Nationell ämneskategori
Datavetenskap (datalogi)
Identifikatorer
URN: urn:nbn:se:kth:diva-364834DOI: 10.1145/3714393.3726495ISI: 001527521500003Scopus ID: 2-s2.0-105011342229OAI: oai:DiVA.org:kth-364834DiVA, id: diva2:1970337
Konferens
Fifteenth ACM Conference on Data and Application Security and Privacy, CODASPY 2025, Pittsburgh, PA, USA, June 4-6, 2025
Anmärkning

QC 20250616

Tillgänglig från: 2025-06-16 Skapad: 2025-06-16 Senast uppdaterad: 2025-12-08Bibliografiskt granskad

Open Access i DiVA

codex-2025(635 kB)87 nedladdningar
Filinformation
Filnamn FULLTEXT01.pdfFilstorlek 635 kBChecksumma SHA-512
e22908adf546ae3357ef201fe235d03be79ccad62966f88fd49d14701dc3870560339fa375c136b1528c22bc0cbd99d256388dc3a43915748be5c1d4843453d3
Typ fulltextMimetyp application/pdf

Övriga länkar

Förlagets fulltextScopus

Person

Ahmadpanah, Mohammad M.

Sök vidare i DiVA

Av författaren/redaktören
Ahmadpanah, Mohammad M.Gobbi, Matías F.Hedin, DanielKinder, JohannesSabelfeld, Andrei
Av organisationen
Teoretisk datalogi, TCS
Datavetenskap (datalogi)

Sök vidare utanför DiVA

GoogleGoogle Scholar
Totalt: 88 nedladdningar
Antalet nedladdningar är summan av nedladdningar för alla fulltexter. Det kan inkludera t.ex tidigare versioner som nu inte längre är tillgängliga.

doi
urn-nbn

Altmetricpoäng

doi
urn-nbn
Totalt: 312 träffar
RefereraExporteraLänk till posten
Permanent länk

Direktlänk
Referera
Referensformat
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Annat format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annat språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf
v. 2.47.0
|
WCAG
|
KTH Bibliotek
|
DiVA support
|
Registrera i DiVA
|
Spikning av avhandling
|
SwePub
|
Om öppen tillgång