Annonse

Rundt 33% av alle Chromium-brukere har en slags nettleserplugin installert. I stedet for å være en nisje, kantteknologi som utelukkende brukes av strømbrukere, er tilleggsprogrammer positivt mainstream, med de fleste kommer fra Chrome Web Store og Firefox Add-Ons Marketplace.

Men hvor sikre er de?

Ifølge undersøkelser grunn til å bli presentert på IEEE-symposiet om sikkerhet og personvern, er svaret ikke veldig. Den Google-finansierte studien fant at titalls millioner Chrome-brukere har en rekke tilleggsbaserte malware installert, som representerer 5% av den totale Google-trafikken.

Forskningen resulterte i at nesten 200 plugins ble skrubbet fra Chrome App Store, og bragte spørsmålstegn ved den generelle sikkerheten på markedet.

Så, hva gjør Google for å holde oss trygge, og hvordan kan du oppdage et useriøst tillegg? Jeg fant ut.

Hvor tilleggene kommer fra

Kall dem hva du vil - nettleserutvidelser, plugins eller tilleggsprogrammer - de kommer alle fra samme sted. Uavhengige tredjepartsutviklere som produserer produkter som de føler tjener et behov, eller løser et problem.

utvidelser-krom

Nettlesertillegg skrives vanligvis ved bruk av webteknologier, for eksempel HTML, CSS, og JavaScript Hva er JavaScript, og kan Internett eksistere uten det?JavaScript er en av de tingene mange tar for gitt. Alle bruker det. Les mer , og er vanligvis bygget for en spesifikk nettleser, selv om det er noen tredjeparts tjenester som letter oppretting av nettleser-plugins for andre plattformer.

Når en plugin har nådd et fullføringsnivå og er testet, blir den deretter utgitt. Det er mulig å distribuere en plugin uavhengig, selv om de aller fleste utviklere i stedet velger å distribuere dem gjennom Mozilla, Google og Microsofts utvidelsesbutikker.

Selv om den før den noen gang berører en brukers datamaskin, må testes for å sikre at den er trygg å bruke. Slik fungerer det i Google Chrome App Store.

Holde Chrome trygt

Fra innsending av en utvidelse til eventuell publisering er det 60 minutters ventetid. hva skjer her? Bak kulissene sørger Google for at plugins ikke inneholder noen ondsinnet logikk, eller noe som kan kompromittere brukernes personvern eller sikkerhet.

Denne prosessen er kjent som 'Enhanced Item Validation' (IEV), og er en serie med strenge kontroller som undersøker en plugin-kode og dens oppførsel når den er installert, for å identifisere skadelig programvare.

Google har også publiserte en ‘stilguide’ av slags som forteller utviklere hvilken oppførsel som er tillatt, og fraråder andre uttrykkelig. For eksempel er det forbudt å bruke inline JavaScript - JavaScript som ikke er lagret i en egen fil - for å dempe risikoen mot angrep på tvers av nettsteder Hva er cross-site scripting (XSS), og hvorfor det er en sikkerhetstrusselSikkerhetssvagheter på tvers av nettsteder er det største sikkerhetsproblemet på nettstedet i dag. Studier har funnet at de er sjokkerende vanlige - 55% av nettstedene inneholdt XSS-sårbarheter i 2011, ifølge White Hat Securitys siste rapport, utgitt i juni ... Les mer .

utvidelser-kode

Google fraråder også på det sterkeste bruken av ‘eval’, som er en programmeringskonstruksjon som lar kode utføre kode, og kan introdusere alle slags sikkerhetsrisikoer. De er heller ikke veldig opptatt av plugins som kobles til eksterne tjenester, ikke fra Google, da dette utgjør risikoen for Man-in-The-Middle (MITM) angrep Hva er et menneske i midten-angrep? Sikkerhetssjargong forklartHvis du har hørt om "mann-i-midten" -angrep, men ikke er helt sikker på hva det betyr, er dette artikkelen for deg. Les mer .

Dette er enkle trinn, men er for det meste effektive for å holde brukerne trygge. Javvad Malik, Sikkerhetsadvokat hos Alienware, mener det er et skritt i riktig retning, men bemerker at den største utfordringen i å holde brukerne trygge er et spørsmål om utdanning.

"Å gjøre skillet mellom god og dårlig programvare blir stadig vanskeligere. For å omskrive, en mans legitim programvare er en annen mans identitetsstjelende, personvernskrevende ondsinnet virus som er kodet i helvete.

"Ikke misforstå meg. Jeg ønsker velkommen flyttingen fra Google for å fjerne disse ondsinnede utvidelsene - noen av disse burde aldri blitt offentliggjort til å begynne med. Men utfordringene fremover for selskaper som Google er å politisere utvidelsene og definere grensene for hva som er akseptabel oppførsel. En samtale som strekker seg utover en sikkerhet eller teknologi og et spørsmål for det internettbrukende samfunnet for øvrig. ”

Google har som mål å sikre at brukerne blir informert om risikoen forbundet med å installere nettleser-plugins. Hver utvidelse i Google Chrome App Store er eksplisitt om tillatelsene som kreves, og kan ikke overskride tillatelsene du gir det. Hvis en utvidelse ber om å gjøre ting som virker uvanlige, har du grunn til mistanke.

Men av og til, som vi alle vet, sklir malware gjennom.

Når Google blir feil

Google holder overraskende ganske tett skip. Ikke mye glir forbi klokken, i hvert fall når det gjelder Google Chrome Web Store. Når noe gjør det, er det imidlertid ille.

  • AddToFeedly var en Chrome-plugin som tillot brukere å legge til et nettsted til deres Fôrende RSS-leser Feedly, reviewed: Hva gjør det til en så populær erstatning for Google Reader?Nå som Google Reader bare er et langt minne, er kampen for fremtiden til RSS virkelig på. Feedly er et av de mest bemerkelsesverdige produktene som kjemper mot den gode kampen. Google Reader var ikke en ... Les mer abonnementer. Det startet livet som et legitimt produkt utgitt av en hobbyutvikler, men ble kjøpt for en firesifret sum i 2014. De nye eierne snublet deretter pluginen med SuperFish-adware, som sprøytet inn annonser på sider og skapte popup-vinduer. SuperFish fikk kjent tidligere i år da det skjedde Lenovo hadde fraktet den med alle low-end Windows-bærbare datamaskiner Lenovo bærbare PC-eiere Vær forsiktig: Enheten kan ha forhåndsinstallert skadelig programvareDen kinesiske datamaskinprodusenten Lenovo har innrømmet at bærbare datamaskiner som ble sendt til butikker og forbrukere i slutten av 2014, hadde malware forhåndsinstallert. Les mer .
  • Skjermbilde av webside lar brukere ta et bilde av helheten på en webside som de besøker, og har blitt installert på over 1 million datamaskiner. Imidlertid har den også overført brukerinformasjon til en enkelt IP-adresse i USA. Eierne av WebPage Screenshot har nektet for noe urett, og insisterer på at det var en del av deres kvalitetssikringspraksis. Google har siden fjernet den fra Chrome Nettmarked.
  • Adicionar Ao Google Chrome var en useriøs utvidelse som kapret Facebook-kontoer 4 ting å gjøre umiddelbart når Facebook-kontoen din ble hacketHvis du mistenker at Facebook-kontoen din har blitt hacket, er det hva du må gjøre for å finne ut og gjenvinne kontrollen. Les mer , og delte uautoriserte statuser, innlegg og bilder. Den skadelige programvaren ble spredt gjennom et nettsted som etterlignet YouTube, og ba brukerne installere pluginen for å se på videoer. Google har siden fjernet plugin-modulen.

Med tanke på at de fleste bruker Chrome for å gjøre det store flertallet av databehandlingen, er det bekymringsfullt at disse programtilleggene klarte å gli gjennom sprekkene. Men i det minste var det en fremgangsmåte å mislykkes. Når du installerer utvidelser fra andre steder, er du ikke beskyttet.

På samme måte som Android-brukere kan installere hvilken som helst app de ønsker, lar Google deg det installer Chrome-utvidelsen du ønsker Slik installerer du Chrome-utvidelser manueltGoogle bestemte seg nylig for å deaktivere installasjonen av Chrome-utvidelser fra tredjeparts nettsteder, men noen brukere ønsker fortsatt å installere disse utvidelsene. Slik gjør du det. Les mer , inkludert de som ikke kommer fra Chrome Nettmarked. Dette er ikke bare for å gi forbrukerne litt ekstra valg, men snarere å la utviklere teste koden de har arbeidet med før de sendte den ut for godkjenning.

utvidelser-Manual

Det er imidlertid viktig å huske at enhver utvidelse som installeres manuelt, ikke har gått gjennom Googles strenge testprosedyrer, og kan inneholde alle slags uønsket oppførsel.

Hvordan er du i faresonen?

I 2014 overtok Google Microsofts Internet Explorer som den dominerende nettleseren, og representerer nå nesten 35% av Internett-brukere. Som et resultat, for alle som ønsker å tjene raskt eller distribuere skadelig programvare, er det fortsatt et fristende mål.

Google har for det meste klart å takle det. Det har vært hendelser, men de har blitt isolert. Når skadelig programvare har klart å skli gjennom, har de taklet det hensiktsmessig og med profesjonaliteten du forventer av Google.

Imidlertid er det tydelig at utvidelser og plugins er en potensiell angrepsvektor. Hvis du planlegger å gjøre noe sensitivt som å logge deg inn på nettbanken din, kan det være lurt å gjøre det i en egen, plugin-fri nettleser eller et inkognitovindu. Og hvis du har noen av utvidelsene oppført ovenfor, skriver du inn chrome: // extensions / i Chrome-adressefeltet, finn og slett dem bare for å være sikker.

Har du noen gang installert noe Chrome-malware? Leve å fortelle historien? Jeg vil høre om det. Send meg en kommentar nedenfor, så snakker vi.

Bildetillegg: Hammer på knust glass Via Shutterstock

Matthew Hughes er programvareutvikler og skribent fra Liverpool, England. Han blir sjelden funnet uten en kopp sterk svart kaffe i hånden og elsker absolutt Macbook Pro og kameraet hans. Du kan lese bloggen hans på http://www.matthewhughes.co.uk og følg ham på twitter på @matthewhughes.