Mainos

Noin 33 prosentilla Chromiumin käyttäjistä on asennettu jonkinlainen selainlaajennus. Sen sijaan, että se olisi niche, yksinomaan energiankäyttäjien käyttämä huipputeknologia, lisäosat ovat myönteisesti valtavirtaa, ja suurin osa tulee Chrome Web Storesta ja Firefox-lisäosamarkkinoista.

Mutta kuinka turvallisia he ovat?

Tutkimusten mukaan on tarkoitus esitellä IEEE-tietoturvasymposiumissa vastaus on ei kovinkaan. Googlen rahoittamassa tutkimuksessa todettiin, että kymmenillä miljoonilla Chromen käyttäjillä on asennettu erilaisia ​​lisäpohjaisia ​​haittaohjelmia, mikä edustaa 5% koko Google-liikenteestä.

Tutkimuksen tuloksena lähes 200 laajennusta puhdistettiin Chrome App Storesta, ja se asetti kyseenalaiseksi markkinoiden yleisen turvallisuuden.

Joten mitä Google tekee pitääksemme meidät turvassa, ja miten voit löytää huijauslisäosan? Sain selville.

Mistä lisäosat tulevat

Soita heille mitä tarvitset - selaimen laajennukset, laajennukset tai lisäosat - ne kaikki tulevat samasta paikasta. Riippumattomat ulkopuoliset kehittäjät tuottavat tuotteita, jotka heidän mielestään palvelevat tarvetta tai ratkaisevat ongelman.

laajennukset-kromi

Selaimen lisäosat kirjoitetaan yleensä verkkoteknologioilla, kuten HTML, CSS, ja JavaScript Mikä on JavaScripti ja voikö Internet olla olemassa ilman sitä?JavaScript on yksi niistä asioista, joita monet pitävät itsestään selvänä. Kaikki käyttävät sitä. Lue lisää , ja yleensä ne on rakennettu yhdelle tietylle selaimelle, vaikka on myös joitain kolmansien osapuolien palveluita, jotka helpottavat eri alustojen välisten selainlaajennusten luomista.

Kun laajennus on saavuttanut valmiustason ja testattu, se vapautetaan. Laajennus on mahdollista jakaa itsenäisesti, vaikka suurin osa kehittäjistä päättää sen sijaan jakaa ne Mozilla-, Google- ja Microsoftin laajennuskauppojen kautta.

Ennen kuin se koskaan koskettaa käyttäjän tietokonetta, se on testattava varmistaakseen, että sen käyttö on turvallista. Näin se toimii Google Chrome App Storessa.

Pidä Chrome turvassa

Laajennuksen jättämisestä sen lopulliseen julkaisuun on odotettavissa 60 minuuttia. Mitä täällä tapahtuu? Kulissien takana Google varmistaa, että laajennus ei sisällä haitallista logiikkaa tai mitään, joka voisi vaarantaa käyttäjien yksityisyyden tai turvallisuuden.

Tämä prosessi tunnetaan nimellä Enhanced Item Validation (IEV), ja se on sarja ankaria tarkastuksia, joissa tutkitaan laajennuksen koodia ja sen käyttäytymistä asennettuna haittaohjelmien tunnistamiseksi.

Googlella on myös julkaisi 'tyyliopas' sellainen, joka kertoo kehittäjille, mitkä käytännöt ovat sallittuja, ja heikentävät selvästi muita. Esimerkiksi sisäisen JavaScriptin - JavaScriptin, jota ei ole tallennettu erilliseen tiedostoon - käyttö on kielletty sivustojenväliset komentosarjojen hyökkäykset Mikä on sivustojen välinen komentosarja (XSS), ja miksi se on turvallisuusuhkaSivustojenväliset komentosarjojen haavoittuvuudet ovat nykyään suurin verkkosivustojen turvallisuusongelma. White Hat Securityn kesäkuussa julkaiseman viimeisimmän raportin mukaan tutkimuksissa on havaittu niiden olevan järkyttävän yleisiä - 55% verkkosivustoista sisälsi XSS-haavoittuvuuksia vuonna 2011 ... Lue lisää .

laajennukset-koodi

Google myös torjuu voimakkaasti 'eval', joka on ohjelmointirakenne, joka sallii koodin suorittaa koodin ja voi tuoda kaikenlaisia ​​tietoturvariskejä. He eivät myöskään ole kovin kiinnostuneita laajennuksista, jotka yhdistävät etäpalveluihin, jotka eivät ole Googlen palveluita, koska tämä aiheuttaa Mies-keskellä (MITM) -hyökkäys Mikä on keskellä oleva hyökkäys? Turvallisuusrgongi selitettyJos olet kuullut keskitason ihmisten hyökkäyksistä, mutta et ole aivan varma, mitä tämä tarkoittaa, tämä on artikkeli sinulle. Lue lisää .

Nämä ovat yksinkertaisia ​​vaiheita, mutta ovat suurimmaksi osaksi tehokkaita pitämään käyttäjät turvassa. Javvad Malik, Alienwaren tietoturvaedustaja, katsoo, että se on askel oikeaan suuntaan, mutta huomauttaa, että suurin haaste käyttäjien turvallisuuden ylläpitämisessä on kysymys koulutuksesta.

”Hyvän ja huonon ohjelmiston erottaminen toisistaan ​​on entistä vaikeampaa. Parafraasina sanottuna yhden miehen laillinen ohjelmisto on toinen miehen identiteetti varastava, yksityisyyttä vaarantava haittaohjelma virus, joka on koodattu helvetin suolistoon.

”Älä ymmärrä minua. Olen tyytyväinen Googlen pyrkimykseen poistaa nämä haitalliset laajennukset - joitain niistä ei olisi koskaan pitänyt julkistaa aluksi. Mutta Googlen kaltaisten yritysten tulevaisuuden haaste on valvoa laajennuksia ja määritellä hyväksyttävän käytöksen rajat. Keskustelu, joka ulottuu tietoturvan tai tekniikan ulkopuolelle, ja kysymys koko Internetin käyttävälle yhteiskunnalle. "

Google pyrkii varmistamaan, että käyttäjille tiedotetaan selaimen laajennusten asentamiseen liittyvistä riskeistä. Jokainen Google Chrome App Storen laajennus sisältää nimenomaisesti vaadittavat käyttöoikeudet, eikä se saa ylittää sille myöntämiäsi käyttöoikeuksia. Jos laajennus pyytää tekemään asioita, jotka vaikuttavat epätavallisilta, sinulla on syytä epäillä.

Mutta toisinaan, kuten me kaikki tiedämme, haittaohjelmat liukuvat läpi.

Kun Google saa sen väärin

Google yllättäen pitää melko tiukan aluksen. Ei juurikaan liukua kellonsa ohi, ainakin Google Chrome Web Store -kaupassa. Kun jokin toimii, se on kuitenkin huonoa.

  • AddToFeedly oli Chrome-laajennus, jonka avulla käyttäjät voivat lisätä verkkosivuston omiin Feedly RSS-lukija Feedly, Review: Mikä tekee siitä niin suositun Google-lukijakorvaajan?Nyt kun Google Reader on vain kaukainen muisti, taistelu RSS: n tulevaisuuden puolesta on todella käynnissä. Yksi merkittävimmistä tuotteista, jotka taistelevat hyvää taistelua vastaan, on Feedly. Google Reader ei ollut ... Lue lisää tilauksia. Se aloitti elämän laillisena tuotteena julkaissut harrastajakehittäjä, mutta ostettiin nelinumeroinen summa vuonna 2014. Uudet omistajat kiinnittivät sitten laajennuksen SuperFish-mainosohjelmalla, joka lisäsi mainontaa sivuille ja synnytti ponnahdusikkunoita. SuperFish sai tunnetta aiemmin tänä vuonna, kun se toteutui Lenovo oli lähettänyt sen kaikkien heikkolaatuisten Windows-kannettaviensa kanssa Lenovo-kannettavien omistajat varovat: Laitteesi saattaa olla esiasennettu haittaohjelmiaKiinalainen tietokonevalmistaja Lenovo on myöntänyt, että myymälöihin ja kuluttajiin vuoden 2014 lopulla toimitetuissa kannettavissa tietokoneissa oli esiasennettu haittaohjelmia. Lue lisää .
  • Verkkosivun näyttökuva avulla käyttäjät voivat kaapata kuvan kaikesta vierailemastaan ​​verkkosivusta, ja se on asennettu yli miljoonaan tietokoneeseen. Se on kuitenkin myös lähettänyt käyttäjätietoja yhdelle IP-osoitteelle Yhdysvalloissa. WebPage Screenshotin omistajat ovat kiistäneet väärinkäytökset ja väittäneet, että se oli osa heidän laadunvarmistuskäytäntöjään. Google on sittemmin poistanut sen Chrome-verkkokaupasta.
  • Adicionar Ao Google Chrome oli petollinen laajennus, joka kaapattu Facebook-tilit 4 tekemistä heti, kun Facebook-tilisi oli hakkeroituJos epäilet, että Facebook-tiliisi on hakkeroitu, tässä on mitä tehdä selvittääksesi ja saadaksesi hallinta uudelleen. Lue lisää ja jakoi luvattomat tilat, viestit ja valokuvat. Haittaohjelma levisi sivustoon, joka jäljitteli YouTubea ja kehotti käyttäjiä asentamaan laajennuksen videoiden katseluun. Google on sittemmin poistanut laajennuksen.

Koska suurin osa ihmisistä käyttää Chromea valtaosan tietojenkäsittelyyn, on huolestuttavaa, että nämä liitännäiset onnistuivat pääsemään halkeamien läpi. Mutta ainakin siellä oli menettely epäonnistua. Kun asennat laajennuksia muualta, et ole suojattu.

Google antaa sinulle aivan kuten Android-käyttäjät voivat asentaa minkä tahansa haluamansa sovelluksen asenna haluamasi Chrome-laajennus Kuinka asentaa Chrome-laajennukset manuaalisestiGoogle päätti äskettäin estää Chrome-laajennusten asentamisen kolmansien osapuolien verkkosivustoilta, mutta jotkut käyttäjät haluavat silti asentaa nämä laajennukset. Näin voit tehdä sen. Lue lisää , mukaan lukien sellaiset, jotka eivät tule Chrome Web Storesta. Tämä ei ole vain antamaan kuluttajille hieman ylimääräistä valintaa, vaan pikemminkin antaa kehittäjille mahdollisuuden testata työskentelemäänsä koodia ennen sen lähettämistä hyväksyttäväksi.

laajennukset-käsikirja

On kuitenkin tärkeätä muistaa, että mitään manuaalisesti asennettua laajennusta ei ole käynyt läpi Googlen tiukeissa testausmenettelyissä ja että se voi sisältää kaikenlaisia ​​ei-toivottuja käytöksiä.

Kuinka vaarassa olet?

Vuonna 2014 Google ohitti Microsoftin Internet Explorerin hallitsevana selaimena ja edustaa nyt lähes 35 prosenttia Internetin käyttäjistä. Seurauksena jokaiselle, joka haluaa tehdä nopeaa vastinetta tai levittää haittaohjelmia, se on houkutteleva kohde.

Google on suurelta osin pystynyt selviytymään. Tapahtumia on tapahtunut, mutta ne ovat olleet erillisiä. Kun haittaohjelmat on onnistunut livahtamaan läpi, he ovat käsitelleet sitä tarkoituksenmukaisesti ja ammattimaisesti, jota odotit Googlelta.

On kuitenkin selvää, että laajennukset ja laajennukset ovat potentiaalinen hyökkäysvektori. Jos aiot tehdä jotain arkaluontoista, kuten kirjautua sisään verkkopankkipalveluihin, kannattaa ehkä tehdä se erillisessä, plugin-vapaassa selaimessa tai incognito-ikkunassa. Ja jos sinulla on jokin yllä luetelluista laajennuksista, kirjoita chrome: // laajennukset / etsi ja poista ne Chrome-osoiteriviltäsi turvallisuuden vuoksi.

Oletko koskaan asentanut joitain Chromen haittaohjelmia? Live kertoa tarinan? Haluan kuulla siitä. Pudota minulle kommentti alla ja me keskustelemme.

Kuvapisteet: Vasara murtuneella lasilla Shutterstockin kautta

Matthew Hughes on ohjelmistokehittäjä ja kirjailija Liverpoolista, Englannista. Hän on harvoin löydetty ilman kuppia vahvaa mustaa kahvia kädessään ja ihailee ehdottomasti MacBook Prota ja kameraansa. Voit lukea hänen bloginsa osoitteessa http://www.matthewhughes.co.uk ja seuraa häntä twitterissä osoitteessa @matthewhughes.