Cât de sigur este magazinul web Chrome oricum?

Cât de sigur este magazinul web Chrome oricum?

Aproximativ 33% din toți utilizatorii Chromium au instalat un fel de plugin pentru browser. În loc să fie o nișă, tehnologia de vârf utilizată exclusiv de utilizatorii avansați, suplimentele sunt pozitive, majoritatea provin din Chrome Web Store și Firefox Add-Ons Marketplace.





Dar cât de sigure sunt?



Conform cercetărilor urmează să fie prezentat la Simpozionul IEEE privind securitatea și confidențialitatea, răspunsul este nu foarte . Studiul finanțat de Google a constatat că zeci de milioane de utilizatori Chrome au instalat o varietate de programe malware bazate pe programe suplimentare, care reprezintă 5% din traficul total Google.





Cercetarea a dus la eliminarea a aproape 200 de pluginuri din Chrome App Store și a pus în discuție securitatea generală a pieței.

Deci, ce face Google pentru a ne menține în siguranță și cum poți identifica un program de completare necinstit? Am aflat.



De unde provin suplimente

Spuneți-le cum doriți - extensii de browser, pluginuri sau programe de completare - toate provin din același loc. Dezvoltatori independenți, terți, care produc produse care consideră că servesc o nevoie sau rezolvă o problemă.

Suplimentele pentru browser sunt scrise, în general, utilizând tehnologii web, cum ar fi HTML, CSS și JavaScript, și sunt de obicei create pentru un browser specific, deși există unele servicii terțe care facilitează crearea de pluginuri de browser multiplatăforme.



Odată ce un plugin a atins un nivel de finalizare și este testat, acesta este apoi lansat. Este posibil să distribuiți un plugin independent, deși marea majoritate a dezvoltatorilor aleg să le distribuie prin intermediul magazinelor de extensii Mozilla, Google și Microsoft.

Deși, înainte de a atinge computerul unui utilizator, acesta trebuie testat pentru a se asigura că este sigur de utilizat. Iată cum funcționează pe Google Chrome App Store.



Păstrarea siguranței Chrome

De la trimiterea unei extensii, până la eventuala publicare a acesteia, există o așteptare de 60 de minute. Ce se intampla aici? Ei bine, în culise, Google se asigură că pluginul nu conține nicio logică rău intenționată sau nimic care ar putea compromite confidențialitatea sau siguranța utilizatorilor.

Acest proces este cunoscut sub numele de „Enhanced Item Validation” (IEV) și este o serie de verificări riguroase care examinează codul unui plugin și comportamentul acestuia atunci când este instalat, pentru a identifica malware-ul.

Google are, de asemenea a publicat un „ghid de stil” un fel care le spune dezvoltatorilor ce comportamente sunt permise și îi descurajează în mod expres pe ceilalți. De exemplu, este interzisă utilizarea JavaScript inline - JavaScript care nu este stocat într-un fișier separat - pentru a reduce riscul împotriva atacurilor de scriptare între site-uri.

De asemenea, Google descurajează puternic utilizarea „eval”, care este o construcție de programare care permite codului să execute cod și poate introduce tot felul de riscuri de securitate. De asemenea, nu sunt foarte dornici de pluginurile care se conectează la servicii la distanță, care nu sunt Google, deoarece acest lucru prezintă riscul unui atac Man-In-The-Middle (MITM).

Acești pași sunt simpli, dar sunt în cea mai mare parte eficienți pentru a păstra utilizatorii în siguranță. Javvad Malik , Avocat pentru securitate la Alienware, consideră că este un pas în direcția corectă, dar observă că cea mai mare provocare în păstrarea în siguranță a utilizatorilor este o problemă a educației.

„A face distincția între software-ul bun și rău devine din ce în ce mai dificil. Pentru a parafraza, un software legitim al unui om este un alt virus malware care fură identitatea, care compromite confidențialitatea, codificat în măruntaiele iadului. „Nu mă înțelegeți greșit, salut măsura Google de a elimina aceste extensii rău intenționate - unele dintre acestea ar trebui niciodată nu au fost făcute publice pentru început. Însă provocarea viitoare pentru companii precum Google este controlarea extensiilor și definirea limitelor comportamentului acceptabil. O conversație care se extinde dincolo de securitate sau tehnologie și o întrebare pentru societatea care utilizează internetul în general. '

Google își propune să se asigure că utilizatorii sunt informați cu privire la riscurile asociate instalării pluginurilor browserului. Fiecare extensie din Google Chrome App Store este explicită cu privire la permisiunile necesare și nu poate depăși permisiunile pe care le acordați. Dacă o extensie solicită să facă lucruri care par neobișnuite, atunci aveți motive de suspiciune.

Dar, ocazional, după cum știm cu toții, malware-ul se strecoară.

cum să începi o dungă pe sc

Când Google greșește

În mod surprinzător, Google păstrează o navă destul de strânsă. Nu prea scapă de ceas, cel puțin când vine vorba de Google Chrome Web Store. Cu toate acestea, când ceva se întâmplă, este rău.

  • AddToFeedly a fost un plugin Chrome care le-a permis utilizatorilor să adauge un site web la abonamentele lor la cititorul RSS Feedly. A început viața ca un produs legitim lansat de un dezvoltator hobbyist , dar a fost cumpărat pentru o sumă de patru cifre în 2014. Noii proprietari au legat apoi pluginul cu adware-ul SuperFish, care a injectat publicitate în pagini și a generat ferestre pop-up. SuperFish a câștigat notorietate la începutul acestui an, când s-a dovedit că Lenovo îl livrase cu toate laptopurile Windows de ultimă generație.
  • Captură de ecran WebPage permite utilizatorilor să capteze o imagine a întregii pagini web pe care o vizitează și a fost instalat pe peste un milion de computere. Cu toate acestea, a transmis și informații despre utilizator către o singură adresă IP din Statele Unite. Proprietarii WebPage Screenshot au negat orice acțiune greșită și insistă că aceasta face parte din practicile lor de asigurare a calității. De atunci, Google l-a eliminat din Magazinul web Chrome.
  • Adăugarea la Google Chrome a fost o extensie falsă care au deturnat conturile de Facebook și a distribuit stări, postări și fotografii neautorizate. Programul malware a fost răspândit printr-un site care imita YouTube și le-a spus utilizatorilor să instaleze pluginul pentru a viziona videoclipuri. De atunci, Google a eliminat pluginul.

Având în vedere că majoritatea oamenilor folosesc Chrome pentru a face marea majoritate a calculelor, este îngrijorător faptul că aceste pluginuri au reușit să alunece prin crăpături. Dar cel puțin a existat o procedură a esua. Când instalați extensii din altă parte, nu sunteți protejat.

La fel ca utilizatorii Android pot instala orice aplicație dorită, Google vă permite să instalați orice extensie Chrome doriți, inclusiv cele care nu provin din Magazinul web Chrome. Acest lucru nu este doar pentru a oferi consumatorilor un pic de alegere suplimentară, ci mai degrabă pentru a permite dezvoltatorilor să testeze codul la care au lucrat înainte de al trimite pentru aprobare.

Cu toate acestea, este important să ne amintim că orice extensie instalată manual nu a trecut prin procedurile riguroase de testare Google și poate conține tot felul de comportamente nedorite.

Cât de risc ești?

În 2014, Google a depășit Internet Explorer-ul Microsoft ca browser web dominant și reprezintă acum aproape 35% din utilizatorii de internet. Drept urmare, pentru oricine dorește să câștige rapid sau să distribuie malware, acesta rămâne o țintă tentantă.

Google, în cea mai mare parte, a reușit să facă față. Au existat incidente, dar au fost izolate. Când malware-ul a reușit să se strecoare, s-au descurcat cu el în mod oportun și cu profesionalismul pe care l-ați aștepta de la Google.

Cu toate acestea, este clar că extensiile și pluginurile sunt un potențial vector de atac. Dacă intenționați să faceți ceva sensibil, cum ar fi conectarea la serviciile bancare online, vă recomandăm să faceți acest lucru într-un browser separat, fără pluginuri sau într-o fereastră incognito. Și dacă aveți oricare dintre extensiile enumerate mai sus, tastați chrome: // extensii / în bara de adrese Chrome, apoi găsiți-le și ștergeți-le, doar pentru a fi în siguranță.

Ați instalat vreodată din greșeală unele programe malware Chrome? Trăiești pentru a spune povestea? Vreau să aud despre asta. Lăsați-mi un comentariu mai jos și vom discuta.

Credite de imagine: Ciocan pe sticlă spartă Via Shutterstock

Acțiune Acțiune Tweet E-mail Dark Web vs. Deep Web: Care este diferența?

Dark web și deep web sunt adesea confundate cu faptul că sunt una și aceeași. Dar nu este cazul, deci care este diferența?

Citiți în continuare Subiecte asemănătoare
  • Browsere
  • Securitate
  • Google Chrome
  • Securitate online
Despre autor Matthew Hughes(386 articole publicate)

Matthew Hughes este un dezvoltator de software și scriitor din Liverpool, Anglia. Rareori este găsit fără o ceașcă de cafea neagră puternică în mână și își adoră absolut Macbook Pro și camera. Puteți citi blogul său la http://www.matthewhughes.co.uk și îl puteți urmări pe twitter la @matthewhughes.

Mai multe de la Matthew Hughes

Aboneaza-te la newsletter-ul nostru

Alăturați-vă newsletter-ului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!

Faceți clic aici pentru a vă abona