Manifest V3 Unveiled: Navigating the New Era of Browser Extensions

Chrome扩展程序自十年前推出以来，数量已经超过了200,000个。2020年，谷歌宣布了扩展程序开发的转变，使用Manifest Version 3(V3)取代之前的Version 2(V2)，并计划在2023年1月之前完成替换。后来，这个截止日期被延长到了2025年1月。公司的决定基于增强三个主要支柱：隐私、安全和性能。本文对Manifest V3生态系统进行了全面分析。我们首先调查了V3的采用率，详细说明了从宣布到2024年之间的采用率百分比。我们的研究结果表明，在2023年暂停之前，尽管V2完全移除的最后期限即将到来，但不到5%的扩展程序已经过渡到了V3，而目前十个新扩展中有九个正在使用Manifest V3上传。此外，我们比较了V2和V3之间的安全和隐私增强措施，并评估了V3更安全的API所带来的改进安全性。我们研究了某些API，这些API曾经容易受到攻击或促进恶意行为，在V3中已被弃用或删除。我们动态地执行了517个确认的恶意扩展程序，由于V3的改进，与恶意行为相关的API被删除了87.8%。我们发现，在转换后，只有154个（29.8%）扩展程序仍然可以正常运行。这项分析得出结论，V3减少了这些API被滥用的可能性。然而，尽管与恶意活动相关的API数量减少了，新的Manifest V3协议仍然无法免受这种行为的影响。我们的研究通过一个概念证明，证明了恶意活动对V3的适应性。在应用概念证明的更改后，我们展示了290个（56%）受检查的恶意扩展程序在V3框架内仍然保留了进行有害活动的能力。

分析Chrome扩展程序的Manifest V3生态系统，解决V2存在的安全、隐私和性能问题。

Manifest V3通过更安全的API、删除或废弃易受攻击的API等方式，提高了安全性和隐私保护，但仍存在恶意行为的可能性。

论文分析了Manifest V3的采用率、安全性和隐私保护方面的改进，并进行了动态执行恶意扩展程序的实验，发现V3减少了恶意行为的可能性，但仍存在适应性恶意行为的可能性。

近期相关研究包括：《Chrome Extension Security Analysis Using Static and Dynamic Analysis Techniques》、《A Comprehensive Study of the Chrome Extension Landscape》等。