'Controle van extensies in VSCode Marketplace van Microsoft laat te wensen over'
Het Israëlische securitybedrijf Stealth hekelt de controle die Microsoft toepast op extensies die worden aangemeld voor de VSCode Marketplace. Zo wisten de onderzoekers zonder problemen een eigen malafide VSCode-extensie naar de marktplaats te uploaden, waarna deze door diverse partijen werd gedownload en geïnstalleerd.
Amit Assaraf, medeoprichter van Stealth, uit in een post op Medium zijn zorgen over de controles die Microsoft toepast op extensies die worden aangemeld voor de VSCode Marketplace. Via deze marktplaats zijn een groot aantal extensies beschikbaar voor Visual Studio, Azure DevOps Services, Azure DevOps Server and Visual Studio Code. Een breed scala aan externe ontwikkelaars biedt in de marktplaats extensies aan.
'In 30 minuten ontwikkeld en gepubliceerd'
Stealth stelt echter dat de controle die Microsoft toepast op de veiligheid van deze extensies te wensen overlaat. Assaraf: "30 minuten. 30 minuten is de tijd die het ons kostte om een Visual Studio Code-extensie (de populairste IDE ter wereld met meer dan 15 miljoen gebruikers per maand) te ontwikkelen, publiceren en op te poetsen, die de kleuren van uw IDE verandert terwijl al uw broncode naar een externe server lekt. We schreven de code, ontwierpen de assets, registreerden een domein, publiceerden de extensie, genereerden neprecensies, kregen ons eerste slachtoffer en bereikten de trending-status op de VSCode Marketplace (een pagina die 4,5 miljoen views per maand krijgt) en bevestigden dat we dat waren geïnstalleerd bij meerdere beursgenoteerde bedrijven met een omzet van meerdere miljarden dollars, allemaal binnen 30 minuten na het werk."
Meer informatie is hier beschikbaar.
Meer over Development
Over Wouter Hoeffnagel
