Колко безопасен е уеб магазинът на Chrome?

Колко безопасен е уеб магазинът на Chrome?

Около 33% от всички потребители на Chromium имат инсталиран някакъв плъгин за браузър. Вместо да бъдат ниша, ръбова технология, използвана изключително от опитни потребители, добавките са положително разпространени, като по-голямата част идва от уеб магазина на Chrome и от пазара за добавки на Firefox.





Но доколко са безопасни?



Според изследванията трябва да бъде представен на симпозиума на IEEE за сигурност и поверителност отговорът е не много . Проучването, финансирано от Google, установи, че десетки милиони потребители на Chrome имат инсталирани различни разновидности на базата на зловреден софтуер, който представлява 5% от общия трафик на Google.





Изследването доведе до изчистване на почти 200 приставки от Chrome App Store и постави под въпрос цялостната сигурност на пазара.

И така, какво прави Google, за да ни пази, и как можете да забележите нелоялна добавка? Аз разбрах.



Откъде идват добавките

Наречете ги както искате - разширения на браузъра, приставки или добавки - всички те идват от едно и също място. Независими разработчици на трети страни, които произвеждат продукти, които според тях обслужват нуждите или решават проблем.

Добавките за браузъри обикновено са написани с помощта на уеб технологии, като HTML, CSS и JavaScript и обикновено са създадени за един конкретен браузър, въпреки че има някои услуги на трети страни, които улесняват създаването на приставки за браузъри на различни платформи.



След като приставката достигне ниво на завършеност и бъде тествана, тя се освобождава. Възможно е да се разпространява плъгин независимо, въпреки че по -голямата част от разработчиците избират вместо това да ги разпространяват чрез магазините за разширения на Mozilla, Google и Microsoft.

Въпреки че, преди да докосне компютъра на потребителя, той трябва да бъде тестван, за да се гарантира, че е безопасен за използване. Ето как работи в Google Chrome App Store.



Запазване на Chrome в безопасност

От подаването на разширение до евентуалното му публикуване има 60 минути чакане. какво става тук? Е, зад кулисите Google се уверява, че приставката не съдържа никаква злонамерена логика или нещо, което би могло да компрометира поверителността или безопасността на потребителите.

Този процес е известен като „Подобрена проверка на елементи“ (IEV) и представлява поредица от строги проверки, които изследват кода на приставката и нейното поведение, когато са инсталирани, с цел идентифициране на злонамерен софтуер.

Google също има публикува „ръководство за стил“ от типа, който казва на разработчиците какво поведение е разрешено и изрично обезкуражава другите. Например, е забранено използването на вграден JavaScript - JavaScript, който не се съхранява в отделен файл - за да се намали рискът от атаки за скриптове между сайтове.

Google също така категорично не препоръчва използването на „eval“, която е програма за програмиране, която позволява на кода да изпълнява код и може да въведе всякакви рискове за сигурността. Те също не са особено запалени по приставките, свързващи се с отдалечени услуги, които не са от Google, тъй като това създава риск от атака „човек в средата“ (MITM).

Това са прости стъпки, но в по -голямата си част са ефективни за защита на потребителите. Джавад Малик , Защитник на сигурността в Alienware, смята, че това е стъпка в правилната посока, но отбелязва, че най -голямото предизвикателство за опазването на потребителите е въпросът на образованието.

„Правенето на разлика между добър и лош софтуер става все по -трудно. Ако перифразираме, легитимният софтуер на един човек е кражба на самоличност на друг човек, компрометиращ поверителността на злонамерен вирус, кодиран в недрата на ада. „Не ме разбирайте погрешно, приветствам хода на Google за премахване на тези злонамерени разширения-някои от тях трябва никога не са били публикувани за начало. Но предизвикателството, което предстои за компании като Google, е да контролира разширенията и да определи границите на приемливото поведение. Разговор, който се простира отвъд сигурността или технологията и е въпрос за обществото, използващо интернет като цяло. “

Google има за цел да гарантира, че потребителите са информирани за рисковете, свързани с инсталирането на плъгини за браузъри. Всяко разширение в Google Chrome App Store е изрично относно необходимите разрешения и не може да надвишава разрешенията, които му давате. Ако едно разширение иска да направи неща, които изглеждат необичайни, тогава имате основание за подозрение.

Но понякога, както всички знаем, зловредният софтуер се промъква.

Самата болка е продукт на болката, основният клиент е удобен, но аз й давам толкова малко, колкото време за работа

Когато Google се обърка

Google, изненадващо, поддържа доста стегнат кораб. Не много се изплъзват покрай часовника им, поне що се отнася до уеб магазина на Google Chrome. Когато нещо се случи обаче е лошо.

  • AddToFeedly беше приставка за Chrome, която позволяваше на потребителите да добавят уебсайт към своите абонаменти за RSS четец на Feedly. Тя започна живота като легитимен продукт издаден от разработчик -любител , но беше купен за четирицифрена сума през 2014 г. Новите собственици след това завързаха приставката с рекламния софтуер SuperFish, който инжектираше реклами в страници и породи изскачащи прозорци. SuperFish придоби известност по-рано тази година, когато се оказа, че Lenovo го доставяше с всичките си лаптопи от Windows от нисък клас.
  • Екранна снимка на уеб страница позволява на потребителите да заснемат изображение на цялата уеб страница, която посещават, и е инсталирана на над 1 милион компютри. Въпреки това, той също така предава потребителска информация до един IP адрес в Съединените щати. Собствениците на WebPage Screenshot отричат ​​всякакви нарушения и настояват, че това е част от техните практики за осигуряване на качество. Оттогава Google го премахна от уеб магазина на Chrome.
  • Добавяне към Google Chrome беше разбойническо разширение, което отвлечени акаунти във Facebook , и сподели неоторизирани статуси, публикации и снимки. Зловредният софтуер беше разпространен чрез сайт, имитиращ YouTube, и каза на потребителите да инсталират приставката, за да гледат видеоклипове. Оттогава Google премахна приставката.

Като се има предвид, че повечето хора използват Chrome, за да извършват по -голямата част от своите изчисления, тревожно е, че тези плъгини успяха да се промъкнат през пукнатините. Но поне имаше а процедура да се провали. Когато инсталирате разширения от друго място, не сте защитени.

Подобно на това, че потребителите на Android могат да инсталират всяко приложение, което желаят, Google ви позволява да инсталирате всяко разширение за Chrome, което искате, включително тези, които не идват от уеб магазина на Chrome. Това не е само за да даде на потребителите допълнителен избор, а за да позволи на разработчиците да тестват кода, върху който са работили, преди да го изпратят за одобрение.

Важно е обаче да запомните, че всяко разширение, инсталирано ръчно, не е преминало през строгите процедури на Google за тестване и може да съдържа всякакви нежелани поведения.

Колко сте изложени на риск?

През 2014 г. Google изпревари Internet Explorer на Microsoft като доминиращ уеб браузър и сега представлява почти 35% от интернет потребителите. В резултат на това за всеки, който иска да спечели бързо или да разпространява зловреден софтуер, той остава примамлива цел.

Google в по -голямата си част успя да се справи. Имало е инциденти, но те са изолирани. Когато зловредният софтуер е успял да се промъкне, те са се справили с него целесъобразно и с професионализма, който бихте очаквали от Google.

Ясно е обаче, че разширенията и приставките са потенциален вектор на атака. Ако планирате да направите нещо чувствително, като например да влезете в онлайн банкирането си, може да искате да направите това в отделен браузър без приставки или прозорец в режим „инкогнито“. И ако имате някое от изброените по -горе разширения, въведете chrome: // разширения/ в адресната лента на Chrome, след това ги намерете и изтрийте, само за да сте в безопасност.

Случайно инсталирали ли сте злонамерен софтуер за Chrome? На живо, за да разкажете приказката? Искам да чуя за това. Оставете ми коментар по -долу и ще си поговорим.

Кредити за изображения: Чук върху разбито стъкло Чрез Shutterstock

Дял Дял Туит електронна поща Dark Web срещу Deep Web: Каква е разликата?

Тъмната мрежа и дълбоката мрежа често се бъркат като една и съща. Но това не е така, така че каква е разликата?

Прочетете Напред Свързани теми
  • Браузъри
  • Сигурност
  • Google Chrome
  • Онлайн сигурност
За автора Матю Хюз(386 статии са публикувани)

Матю Хюз е софтуерен разработчик и писател от Ливърпул, Англия. Рядко се среща без чаша силно черно кафе в ръка и абсолютно обожава своя Macbook Pro и фотоапарата си. Можете да прочетете неговия блог на http://www.matthewhughes.co.uk и да го последвате в Twitter в @matthewhughes.

Още от Матю Хюз

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и изключителни оферти!

Щракнете тук, за да се абонирате