Πόσο ασφαλές είναι το Chrome Web Store ούτως ή άλλως;

Πόσο ασφαλές είναι το Chrome Web Store ούτως ή άλλως;

Περίπου το 33% όλων των χρηστών του Chromium έχουν εγκατεστημένο κάποιο είδος προσθήκης προγράμματος περιήγησης. Αντί να είναι μια εξειδικευμένη, τεχνολογία αιχμής που χρησιμοποιείται αποκλειστικά από χρήστες ενέργειας, τα πρόσθετα είναι θετικά mainstream, με την πλειοψηφία να προέρχεται από το Chrome Web Store και το Firefox Add-Ons Marketplace.





Πόσο ασφαλείς είναι όμως;



Σύμφωνα με έρευνα αναμένεται να παρουσιαστεί στο συμπόσιο IEEE για την ασφάλεια και το απόρρητο, η απάντηση είναι όχι πολύ Το Η μελέτη που χρηματοδοτήθηκε από την Google διαπίστωσε ότι δεκάδες εκατομμύρια χρήστες του Chrome έχουν εγκατεστημένη κάποια ποικιλία κακόβουλου λογισμικού πρόσθετων, η οποία αντιπροσωπεύει το 5% της συνολικής επισκεψιμότητας της Google.





Η έρευνα είχε ως αποτέλεσμα σχεδόν 200 πρόσθετα να απορριφθούν από το Chrome App Store και να θέσουν υπό αμφισβήτηση τη συνολική ασφάλεια της αγοράς.

Λοιπόν, τι κάνει η Google για να μας κρατήσει ασφαλείς και πώς μπορείτε να εντοπίσετε ένα αδίστακτο πρόσθετο; Εμαθα.



Από πού προέρχονται τα πρόσθετα

Ονομάστε τους όπως θέλετε - επεκτάσεις προγράμματος περιήγησης, πρόσθετα ή πρόσθετα - όλα προέρχονται από το ίδιο μέρος. Ανεξάρτητοι προγραμματιστές τρίτων κατασκευαστών προϊόντων που θεωρούν ότι εξυπηρετούν μια ανάγκη ή επιλύουν ένα πρόβλημα.

Τα πρόσθετα προγράμματος περιήγησης γενικά γράφονται χρησιμοποιώντας τεχνολογίες ιστού, όπως HTML, CSS και JavaScript και συνήθως δημιουργούνται για ένα συγκεκριμένο πρόγραμμα περιήγησης, αν και υπάρχουν ορισμένες υπηρεσίες τρίτων που διευκολύνουν τη δημιουργία πρόσθετων προγραμμάτων περιήγησης μεταξύ πλατφορμών.



Μόλις ένα plugin φτάσει σε ένα επίπεδο ολοκλήρωσης και δοκιμαστεί, τότε απελευθερώνεται. Είναι δυνατή η διανομή ενός plugin ανεξάρτητα, αν και η συντριπτική πλειοψηφία των προγραμματιστών επιλέγει να τα διανείμει μέσω των καταστημάτων επεκτάσεων της Mozilla, της Google και της Microsoft.

Αν και, πριν αγγίξει ποτέ τον υπολογιστή ενός χρήστη, πρέπει να δοκιμαστεί για να διασφαλιστεί ότι είναι ασφαλής στη χρήση. Δείτε πώς λειτουργεί στο Google Chrome App Store.



Διατηρώντας το Chrome ασφαλές

Από την υποβολή μιας επέκτασης έως την τελική δημοσίευσή της, υπάρχει αναμονή 60 λεπτών. Τι συμβαίνει εδώ? Λοιπόν, στα παρασκήνια, η Google διασφαλίζει ότι το πρόσθετο δεν περιέχει κακόβουλη λογική ή οτιδήποτε θα μπορούσε να θέσει σε κίνδυνο την ιδιωτικότητα ή την ασφάλεια των χρηστών.

Αυτή η διαδικασία είναι γνωστή ως «Enhanced Item Validation» (IEV) και είναι μια σειρά αυστηρών ελέγχων που εξετάζουν τον κώδικα ενός plugin και τη συμπεριφορά του κατά την εγκατάσταση, προκειμένου να εντοπίσουν κακόβουλο λογισμικό.

Η Google έχει επίσης δημοσίευσε έναν «οδηγό στυλ» που λέει στους προγραμματιστές ποιες συμπεριφορές επιτρέπονται και αποθαρρύνει ρητά τους άλλους. Για παράδειγμα, απαγορεύεται η χρήση ενσωματωμένης JavaScript - JavaScript που δεν είναι αποθηκευμένη σε ξεχωριστό αρχείο - προκειμένου να μετριαστεί ο κίνδυνος επιθέσεων δέσμης ενεργειών μεταξύ ιστότοπων.

Η Google επίσης αποθαρρύνει έντονα τη χρήση του «eval», το οποίο είναι μια κατασκευή προγραμματισμού που επιτρέπει στον κώδικα να εκτελεί κώδικα και μπορεί να εισάγει κάθε είδους κινδύνους ασφαλείας. Δεν ενδιαφέρονται επίσης για plugins που συνδέονται με απομακρυσμένες υπηρεσίες εκτός Google, καθώς αυτό ενέχει τον κίνδυνο μιας επίθεσης Man-In-The-Middle (MITM).

Αυτά είναι απλά βήματα, αλλά είναι ως επί το πλείστον αποτελεσματικά στη διατήρηση της ασφάλειας των χρηστών. Τζαββάντ Μαλίκ , Security Advocate at Alienware, πιστεύει ότι είναι ένα βήμα προς τη σωστή κατεύθυνση, αλλά σημειώνει ότι η μεγαλύτερη πρόκληση για την ασφάλεια των χρηστών είναι ένα θέμα εκπαίδευσης.

«Η διάκριση μεταξύ καλού και κακού λογισμικού γίνεται όλο και πιο δύσκολη. Για να παραφράσω, ένα ανθρώπινο νόμιμο λογισμικό είναι ένα άλλο άτομο που κλέβει ταυτότητα, παραβιάζει την ιδιωτική ζωή κακόβουλο ιό κωδικοποιημένο στα σπλάχνα της κόλασης. «Μην με παρεξηγήσετε, χαιρετίζω την κίνηση της Google να αφαιρέσει αυτές τις κακόβουλες επεκτάσεις-μερικές από αυτές θα πρέπει ποτέ δεν έχουν δημοσιοποιηθεί για αρχή. Αλλά η πρόκληση για εταιρείες όπως η Google είναι η αστυνόμευση των επεκτάσεων και ο καθορισμός των ορίων της αποδεκτής συμπεριφοράς. Μια συνομιλία που εκτείνεται πέρα ​​από μια ασφάλεια ή τεχνολογία και μια ερώτηση για την κοινωνία που χρησιμοποιεί το Διαδίκτυο γενικότερα ».

Η Google στοχεύει να διασφαλίσει ότι οι χρήστες ενημερώνονται για τους κινδύνους που συνδέονται με την εγκατάσταση πρόσθετων προγράμματος περιήγησης. Κάθε επέκταση στο Google Chrome App Store αναφέρεται ρητά σχετικά με τα απαιτούμενα δικαιώματα και δεν μπορεί να υπερβαίνει τα δικαιώματα που της δίνετε. Εάν μια επέκταση ζητά να κάνει πράγματα που φαίνονται ασυνήθιστα, τότε έχετε λόγους υποψίας.

Αλλά μερικές φορές, όπως όλοι γνωρίζουμε, το κακόβουλο λογισμικό περνάει.

δείτε την ταινία δωρεάν χωρίς εγγραφή

Όταν το Google Λάθος

Η Google, εκπληκτικά, κρατά αρκετά σφιχτό πλοίο. Δεν ξεπερνούν πολλά το ρολόι τους, τουλάχιστον όταν πρόκειται για το Google Chrome Web Store. Όταν κάτι κάνει, όμως, είναι κακό.

  • AddToFeedly ήταν μια προσθήκη Chrome που επέτρεπε στους χρήστες να προσθέσουν έναν ιστότοπο στις συνδρομές τους στο Feedly RSS αναγνώστη. Ξεκίνησε τη ζωή ως νόμιμο προϊόν κυκλοφόρησε από έναν προγραμματιστή χόμπι , αλλά αγοράστηκε έναντι τετραψήφιου ποσού το 2014. Οι νέοι ιδιοκτήτες έβαλαν στη συνέχεια το πρόσθετο με το adware SuperFish, το οποίο έβαλε διαφημίσεις σε σελίδες και δημιουργούσε αναδυόμενα παράθυρα. Το SuperFish απέκτησε φήμη νωρίτερα φέτος, όταν η Lenovo το είχε αποστείλει με όλους τους φορητούς υπολογιστές χαμηλής τεχνολογίας Windows.
  • Στιγμιότυπο οθόνης ιστοσελίδας επιτρέπει στους χρήστες να τραβήξουν μια εικόνα ολόκληρης της ιστοσελίδας που επισκέπτονται και έχει εγκατασταθεί σε πάνω από 1 εκατομμύριο υπολογιστές. Ωστόσο, διαβιβάζει επίσης πληροφορίες χρηστών σε μία μόνο διεύθυνση IP στις Ηνωμένες Πολιτείες. Οι ιδιοκτήτες του WebPage Screenshot αρνήθηκαν οποιαδήποτε παράβαση και επιμένουν ότι ήταν μέρος των πρακτικών διασφάλισης ποιότητας τους. Η Google το έχει αφαιρέσει από το Chrome Web Store.
  • Προσθήκη στο Google Chrome ήταν μια απατεώδης επέκταση που απήγαγε λογαριασμούς στο Facebook και κοινοποίησε μη εξουσιοδοτημένες καταστάσεις, δημοσιεύσεις και φωτογραφίες. Το κακόβουλο λογισμικό διαδόθηκε μέσω ενός ιστότοπου που μιμήθηκε το YouTube και είπε στους χρήστες να εγκαταστήσουν το πρόσθετο για να παρακολουθήσουν βίντεο. Η Google έχει αφαιρέσει έκτοτε το plugin.

Δεδομένου ότι οι περισσότεροι άνθρωποι χρησιμοποιούν το Chrome για να κάνουν τη συντριπτική πλειοψηφία των υπολογιστών τους, είναι ανησυχητικό ότι αυτά τα πρόσθετα κατάφεραν να περάσουν από τις ρωγμές. Αλλά τουλάχιστον υπήρχε ένα διαδικασία να αποτύχει. Όταν εγκαθιστάτε επεκτάσεις από αλλού, δεν προστατεύεστε.

Όπως και οι χρήστες Android μπορούν να εγκαταστήσουν οποιαδήποτε εφαρμογή επιθυμούν, η Google σάς επιτρέπει να εγκαταστήσετε οποιαδήποτε επέκταση Chrome θέλετε, συμπεριλαμβανομένων εκείνων που δεν προέρχονται από το Chrome Web Store. Αυτό δεν είναι απλώς για να δώσει στους καταναλωτές μια επιπλέον επιλογή, αλλά μάλλον για να επιτρέψει στους προγραμματιστές να δοκιμάσουν τον κώδικα στον οποίο έχουν εργαστεί πριν τον στείλουν για έγκριση.

Ωστόσο, είναι σημαντικό να θυμάστε ότι οποιαδήποτε επέκταση που εγκαθίσταται με μη αυτόματο τρόπο δεν έχει περάσει από τις αυστηρές διαδικασίες ελέγχου της Google και μπορεί να περιέχει κάθε είδους ανεπιθύμητη συμπεριφορά.

Πόσο Κινδυνεύετε;

Το 2014, η Google ξεπέρασε τον Internet Explorer της Microsoft ως το κυρίαρχο πρόγραμμα περιήγησης ιστού και τώρα αντιπροσωπεύει σχεδόν το 35% των χρηστών του Διαδικτύου. Ως αποτέλεσμα, για όποιον θέλει να κερδίσει γρήγορα ή να διανείμει κακόβουλο λογισμικό, παραμένει ένας δελεαστικός στόχος.

Η Google, ως επί το πλείστον, κατάφερε να ανταπεξέλθει. Έχουν συμβεί περιστατικά, αλλά έχουν απομονωθεί. Όταν το κακόβουλο λογισμικό έχει καταφέρει να διολισθήσει, το αντιμετώπισαν με τον καλύτερο δυνατό τρόπο και με τον επαγγελματισμό που θα περίμενε κανείς από την Google.

Ωστόσο, είναι σαφές ότι οι επεκτάσεις και τα πρόσθετα είναι ένα πιθανό διάνυσμα επίθεσης. Εάν σχεδιάζετε να κάνετε οτιδήποτε ευαίσθητο, όπως να συνδεθείτε στην ηλεκτρονική σας τραπεζική, ίσως θελήσετε να το κάνετε σε ξεχωριστό πρόγραμμα περιήγησης χωρίς πρόσθετα ή σε παράθυρο ανώνυμης περιήγησης. Και αν έχετε κάποια από τις επεκτάσεις που αναφέρονται παραπάνω, πληκτρολογήστε chrome: // extensions/ στη γραμμή διευθύνσεων του Chrome και, στη συνέχεια, βρείτε και διαγράψτε τα, για να είστε ασφαλείς.

Έχετε εγκαταστήσει ποτέ κατά λάθος κάποιο κακόβουλο λογισμικό Chrome; Ζεις για να πεις την ιστορία; Θέλω να το ακούσω. Πείτε μου ένα σχόλιο παρακάτω και θα συζητήσουμε.

Συντελεστές εικόνας: Σφυρί σε θρυμματισμένο γυαλί Μέσω του Shutterstock

Μερίδιο Μερίδιο Τιτίβισμα ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ Dark Web έναντι Deep Web: Ποια είναι η διαφορά;

Ο σκοτεινός ιστός και ο βαθύς ιστός συχνά μπερδεύονται ως ένα και το αυτό. Αλλά αυτό δεν ισχύει, οπότε ποια είναι η διαφορά;

Διαβάστε Επόμενο Σχετικά θέματα
  • Προγράμματα περιήγησης
  • Ασφάλεια
  • Google Chrome
  • Online Ασφάλεια
Σχετικά με τον Συγγραφέα Μάθιου Χιουζ(Δημοσιεύθηκαν 386 άρθρα)

Ο Matthew Hughes είναι προγραμματιστής λογισμικού και συγγραφέας από το Λίβερπουλ της Αγγλίας. Σπάνια βρίσκεται χωρίς ένα φλιτζάνι δυνατό μαύρο καφέ στο χέρι και λατρεύει απόλυτα το Macbook Pro και τη φωτογραφική του μηχανή. Μπορείτε να διαβάσετε το ιστολόγιό του στη διεύθυνση http://www.matthewhughes.co.uk και να τον ακολουθήσετε στο twitter στο @matthewhughes.

Περισσότερα από τον Matthew Hughes

Εγγραφείτε στο newsletter μας

Εγγραφείτε στο ενημερωτικό μας δελτίο για τεχνικές συμβουλές, κριτικές, δωρεάν ebooks και αποκλειστικές προσφορές!

Κάντε κλικ εδώ για εγγραφή