Jak bezpieczny jest mimo to Chrome Web Store?

Jak bezpieczny jest mimo to Chrome Web Store?

Około 33% wszystkich użytkowników Chromium ma zainstalowaną jakąś wtyczkę do przeglądarki. Dodatki nie są niszową, najnowocześniejszą technologią wykorzystywaną wyłącznie przez zaawansowanych użytkowników, ale są zdecydowanie popularne, a większość pochodzi z Chrome Web Store i Firefox Add-Ons Marketplace.





Ale czy są bezpieczne?



Zgodnie z badaniami do prezentacji na sympozjum IEEE na temat bezpieczeństwa i prywatności odpowiedź brzmi nie bardzo . Badanie finansowane przez Google wykazało, że dziesiątki milionów użytkowników Chrome ma zainstalowane różne rodzaje złośliwego oprogramowania opartego na dodatkach, co stanowi 5% całkowitego ruchu Google.





Badania doprowadziły do ​​usunięcia prawie 200 wtyczek z Chrome App Store i poddały w wątpliwość ogólne bezpieczeństwo rynku.

Co więc robi Google, aby zapewnić nam bezpieczeństwo i jak rozpoznać nieuczciwy dodatek? Dowiedziałem się.



Skąd pochodzą dodatki

Nazwij je, jak chcesz – rozszerzenia przeglądarki, wtyczki lub dodatki – wszystkie pochodzą z tego samego miejsca. Niezależni, zewnętrzni programiści wytwarzający produkty, które ich zdaniem służą potrzebie lub rozwiązują problem.

Dodatki do przeglądarek są zazwyczaj pisane przy użyciu technologii internetowych, takich jak HTML, CSS i JavaScript , i zazwyczaj są tworzone dla jednej konkretnej przeglądarki, chociaż istnieją usługi innych firm, które ułatwiają tworzenie międzyplatformowych wtyczek do przeglądarek.



Gdy wtyczka osiągnie poziom ukończenia i zostanie przetestowana, zostaje wydana. Możliwe jest samodzielne rozpowszechnianie wtyczek, chociaż zdecydowana większość programistów decyduje się na ich dystrybucję za pośrednictwem sklepów z rozszerzeniami Mozilli, Google i Microsoftu.

Chociaż zanim dotknie komputera użytkownika, musi zostać przetestowany, aby upewnić się, że jest bezpieczny w użyciu. Oto, jak to działa w sklepie Google Chrome App Store.



Bezpieczeństwo Chrome

Od przesłania rozszerzenia do jego ostatecznej publikacji jest 60 minut oczekiwania. co się tutaj stało? Cóż, za kulisami Google upewnia się, że wtyczka nie zawiera żadnej złośliwej logiki ani niczego, co mogłoby zagrozić prywatności lub bezpieczeństwu użytkowników.

Proces ten jest znany jako „Enhanced Item Validation” (IEV) i jest serią rygorystycznych testów, które sprawdzają kod wtyczki i jej zachowanie po zainstalowaniu w celu zidentyfikowania złośliwego oprogramowania.

Google ma również opublikował „przewodnik po stylu” rodzaj, który mówi programistom, jakie zachowania są dozwolone, i wyraźnie zniechęca innych. Na przykład zabronione jest używanie wbudowanego JavaScript — JavaScript, który nie jest przechowywany w oddzielnym pliku — w celu zmniejszenia ryzyka ataków cross-site scripting .

Google zdecydowanie odradza również używanie 'eval', czyli konstrukcji programistycznej, która pozwala kodowi na wykonanie kodu i może wprowadzać różnego rodzaju zagrożenia bezpieczeństwa. Nie są też zbytnio zainteresowani wtyczkami łączącymi się ze zdalnymi usługami innymi niż Google, ponieważ stwarza to ryzyko ataku Man-In-The-Middle (MITM) .

Są to proste kroki, ale w większości skuteczne w zapewnianiu bezpieczeństwa użytkownikom. Javvad Malik , Security Advocate w Alienware, uważa, że ​​to krok we właściwym kierunku, ale zauważa, że ​​największym wyzwaniem w zapewnianiu bezpieczeństwa użytkownikom jest kwestia edukacji.

„Dokonanie rozróżnienia między dobrym a złym oprogramowaniem staje się coraz trudniejsze. Parafrazując, legalne oprogramowanie jednego człowieka to inny, kradnący tożsamość i naruszający prywatność złośliwy wirus zakodowany w trzewiach piekła. „Nie zrozum mnie źle, z zadowoleniem przyjmuję decyzję Google o usunięciu tych złośliwych rozszerzeń – niektóre z nich powinny nigdy nie zostały upublicznione. Jednak wyzwaniem na przyszłość dla firm takich jak Google jest nadzorowanie rozszerzeń i określenie granic akceptowalnego zachowania. Rozmowa, która wykracza poza bezpieczeństwo lub technologię i jest pytaniem skierowanym do całego społeczeństwa korzystającego z Internetu”.

Google dąży do tego, aby użytkownicy byli informowani o zagrożeniach związanych z instalacją wtyczek do przeglądarek. Każde rozszerzenie w sklepie Google Chrome App Store wyraźnie określa wymagane uprawnienia i nie może przekroczyć uprawnień, które mu przyznasz. Jeśli rozszerzenie prosi o zrobienie rzeczy, które wydają się nietypowe, masz powody do podejrzeń.

Ale od czasu do czasu, jak wszyscy wiemy, złośliwe oprogramowanie prześlizguje się.

jak wymusić zamknięcie programu w systemie Windows 10 bez menedżera zadań

Kiedy Google się myli

Co zaskakujące, Google trzyma się dość mocno. Niewiele prześlizguje się obok ich zegarka, przynajmniej jeśli chodzi o Google Chrome Web Store. Kiedy jednak coś się dzieje, jest źle.

  • Dodaj do Feedly była wtyczką Chrome, która umożliwiała użytkownikom dodawanie witryny do subskrypcji czytnika Feedly RSS. Zaczęło się jako legalny produkt wydany przez programistę hobbystę , ale został kupiony za czterocyfrową sumę w 2014 roku. Nowi właściciele następnie dołączyli wtyczkę do oprogramowania reklamowego SuperFish, które wstrzykiwało reklamy na strony i tworzyło wyskakujące okienka. SuperFish zyskał rozgłos na początku tego roku, kiedy okazało się, że Lenovo dostarczało go ze wszystkimi swoimi tanimi laptopami z systemem Windows.
  • Zrzut ekranu strony internetowej umożliwia użytkownikom przechwytywanie obrazu całej odwiedzanej strony internetowej i została zainstalowana na ponad milionie komputerów. Jednak przesyłał również informacje o użytkowniku na pojedynczy adres IP w Stanach Zjednoczonych. Właściciele WebPage Screenshot zaprzeczają jakimkolwiek wykroczeniom i twierdzą, że było to częścią ich praktyk zapewniania jakości. Od tego czasu Google usunęło go z Chrome Web Store.
  • Add to Google Chrome było nieuczciwym rozszerzeniem, które porwane konta na Facebooku oraz udostępnianie nieautoryzowanych statusów, postów i zdjęć. Złośliwe oprogramowanie rozprzestrzeniało się za pośrednictwem witryny naśladującej YouTube i nakazywało użytkownikom instalowanie wtyczki w celu oglądania filmów. Od tego czasu Google usunęło wtyczkę.

Biorąc pod uwagę, że większość ludzi używa Chrome do wykonywania ogromnej większości swoich obliczeń, niepokojące jest to, że te wtyczki zdołały prześlizgnąć się przez pęknięcia. Ale przynajmniej było? procedura nie zdać. Gdy instalujesz rozszerzenia z innego miejsca, nie jesteś chroniony.

Podobnie jak użytkownicy Androida mogą instalować dowolną aplikację, tak Google pozwala zainstalować dowolne rozszerzenie do Chrome , w tym te, które nie pochodzą z Chrome Web Store. Nie chodzi tylko o to, aby dać konsumentom trochę dodatkowego wyboru, ale raczej o umożliwienie programistom przetestowanie kodu, nad którym pracowali, przed wysłaniem go do zatwierdzenia.

Należy jednak pamiętać, że żadne rozszerzenie instalowane ręcznie nie przeszło rygorystycznych procedur testowych Google i może zawierać wszelkiego rodzaju niepożądane zachowania.

Jak zagrożony jesteś?

W 2014 r. Google wyprzedził Microsoft Internet Explorer jako dominującą przeglądarkę internetową i stanowi obecnie prawie 35% użytkowników Internetu. W rezultacie dla każdego, kto chce szybko zarobić lub rozpowszechniać złośliwe oprogramowanie, pozostaje kuszącym celem.

Google w większości poradził sobie. Zdarzały się incydenty, ale zostały odizolowane. Gdy złośliwemu oprogramowaniu udało się prześlizgnąć, radzili sobie z nim w rozsądny sposób i z profesjonalizmem, jakiego można oczekiwać od Google.

Jasne jest jednak, że rozszerzenia i wtyczki są potencjalnym wektorem ataku. Jeśli planujesz robić coś wrażliwego, na przykład logować się do swojej bankowości internetowej, możesz to zrobić w oddzielnej przeglądarce bez wtyczek lub w oknie incognito. A jeśli masz którekolwiek z rozszerzeń wymienionych powyżej, wpisz chrome://rozszerzenia/ na pasku adresu Chrome, a następnie znajdź je i usuń, aby być bezpiecznym.

Czy kiedykolwiek przypadkowo zainstalowałeś złośliwe oprogramowanie Chrome? Żyć, by opowiedzieć historię? Chcę o tym usłyszeć. Napisz do mnie komentarz poniżej, a porozmawiamy.

Kredyty obrazkowe: Młotek na rozbitym szkle Przez Shutterstock

Udział Udział Ćwierkać E-mail Dark Web vs Deep Web: jaka jest różnica?

Ciemna sieć i głęboka sieć są często mylone z tym samym. Ale tak nie jest, więc jaka jest różnica?

Czytaj dalej Powiązane tematy
  • Przeglądarki
  • Bezpieczeństwo
  • Google Chrome
  • Bezpieczeństwo w Internecie
O autorze Mateusz Hughes(386 opublikowanych artykułów)

Matthew Hughes jest programistą i pisarzem z Liverpoolu w Anglii. Rzadko można go znaleźć bez filiżanki mocnej czarnej kawy w dłoni i absolutnie uwielbia swojego Macbooka Pro i swój aparat. Możesz przeczytać jego bloga na http://www.matthewhughes.co.uk i śledzić go na Twitterze pod adresem @matthewhughes.

Więcej od Matthew Hughesa

Zapisz się do naszego newslettera

Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Kliknij tutaj, aby zasubskrybować