Насколько безопасен Интернет-магазин Chrome?

Насколько безопасен Интернет-магазин Chrome?

Около 33% всех пользователей Chromium имеют установленный какой-либо плагин для браузера. Вместо того, чтобы быть нишевой, передовой технологией, используемой исключительно опытными пользователями, надстройки являются определенно мейнстримом, причем большинство из них поступает из Интернет-магазина Chrome и рынка надстроек Firefox.





Но насколько они безопасны?



Согласно исследованию должен быть представлен на симпозиуме IEEE по безопасности и конфиденциальности ответ: не очень . Исследование, финансируемое Google, показало, что у десятков миллионов пользователей Chrome установлено несколько вредоносных программ на основе надстроек, что составляет 5% от общего трафика Google.





В результате исследования было удалено почти 200 плагинов из Chrome App Store, что поставило под сомнение общую безопасность рынка.

Итак, что делает Google, чтобы обезопасить нас, и как обнаружить мошеннические надстройки? Я выяснил.



Откуда берутся надстройки

Называйте их как хотите - расширения браузера, плагины или надстройки - все они происходят из одного места. Независимые сторонние разработчики, производящие продукты, которые, по их мнению, удовлетворяют потребности или решают проблему.

Надстройки браузера обычно пишутся с использованием веб-технологий, таких как HTML, CSS и JavaScript, и обычно создаются для одного конкретного браузера, хотя есть некоторые сторонние службы, которые облегчают создание кроссплатформенных подключаемых модулей браузера.



После того, как плагин достиг уровня завершения и протестирован, он выпускается. Плагин можно распространять независимо, хотя подавляющее большинство разработчиков вместо этого предпочитают распространять их через магазины расширений Mozilla, Google и Microsoft.

Хотя, прежде чем он когда-либо коснется компьютера пользователя, его необходимо протестировать, чтобы убедиться, что он безопасен в использовании. Вот как это работает в магазине приложений Google Chrome.



Обеспечение безопасности Chrome

От подачи расширения до его возможной публикации есть 60-минутное ожидание. Что здесь происходит? Что ж, за кулисами Google следит за тем, чтобы плагин не содержал вредоносной логики или чего-либо, что могло бы поставить под угрозу конфиденциальность или безопасность пользователей.

Этот процесс известен как «расширенная проверка элементов» (IEV) и представляет собой серию строгих проверок, в ходе которых проверяется код подключаемого модуля и его поведение при установке с целью выявления вредоносных программ.

Google также опубликовал 'руководство по стилю' своего рода, который сообщает разработчикам, какое поведение разрешено, и явно не одобряет других. Например, запрещено использовать встроенный JavaScript - JavaScript, который не хранится в отдельном файле - для снижения риска атак межсайтового скриптинга.

Google также категорически не рекомендует использовать eval, программную конструкцию, которая позволяет коду выполнять код и может создавать всевозможные риски безопасности. Они также не очень заинтересованы в плагинах, подключающихся к удаленным службам, не принадлежащим Google, поскольку это создает риск атаки Man-In-The-Middle (MITM).

Это простые шаги, но по большей части они эффективны для обеспечения безопасности пользователей. Джаввад Малик , Специалист по безопасности в Alienware, считает, что это шаг в правильном направлении, но отмечает, что самая большая проблема в обеспечении безопасности пользователей - это вопрос образования.

«Делать различие между хорошим и плохим программным обеспечением становится все труднее. Перефразируя, легитимное программное обеспечение одного человека - это вредоносный вирус, который крадет личные данные и компрометирует конфиденциальность, закодированный в недрах ада. Не поймите меня неправильно, я приветствую шаг Google по удалению этих вредоносных расширений - некоторые из них должны никогда не были обнародованы с самого начала. Но перед такими компаниями, как Google, стоит задача следить за расширениями и определять пределы допустимого поведения. Разговор, который выходит за рамки безопасности или технологий и является вопросом для общества, использующего Интернет, в целом ».

Google стремится информировать пользователей о рисках, связанных с установкой подключаемых модулей браузера. Каждое расширение в Google Chrome App Store явно указывает требуемые разрешения и не может превышать разрешений, которые вы ему предоставляете. Если расширение просит сделать что-то необычное, у вас есть повод для подозрений.

Но, как мы все знаем, иногда проскальзывает вредоносное ПО.

как запускать старые игры на windows 10

Когда Google ошибается

Удивительно, но Google держит довольно плотный корабль. Мало что ускользает от их часов, по крайней мере, когда дело доходит до Интернет-магазина Google Chrome. Однако когда что-то происходит, это плохо.

  • AddToFeedly был плагином Chrome, который позволял пользователям добавлять веб-сайты в свои подписки на программу чтения RSS-каналов Feedly. Он начал жизнь как законный продукт выпущен разработчиком-любителем , но был куплен за четырехзначную сумму в 2014 году. Затем новые владельцы добавили в плагин рекламное ПО SuperFish, которое размещало рекламу на страницах и создавало всплывающие окна. SuperFish приобрела известность в начале этого года, когда выяснилось, что Lenovo поставляла его со всеми своими недорогими ноутбуками с Windows.
  • Скриншот веб-страницы позволяет пользователям делать снимки всей веб-страницы, которую они посещают, и был установлен на более чем 1 миллионе компьютеров. Однако он также передавал информацию о пользователях на единственный IP-адрес в Соединенных Штатах. Владельцы WebPage Screenshot отрицают какие-либо нарушения и настаивают на том, что это было частью их практики обеспечения качества. С тех пор Google удалил его из Интернет-магазина Chrome.
  • Добавить в Google Chrome было мошенническим расширением, которое угнали учетные записи Facebook , а также поделился неавторизованными статусами, сообщениями и фотографиями. Вредоносное ПО распространялось через сайт, имитирующий YouTube, и предлагал пользователям установить плагин для просмотра видео. С тех пор Google удалил плагин.

Учитывая, что большинство людей используют Chrome для выполнения большей части своих вычислений, вызывает беспокойство то, что этим плагинам удалось проскользнуть сквозь трещины. Но по крайней мере был процедура потерпеть неудачу. Когда вы устанавливаете расширения из другого места, вы не защищены.

Подобно тому, как пользователи Android могут устанавливать любое приложение по своему желанию, Google позволяет вам установить любое расширение Chrome, которое вы хотите, в том числе те, которые не поступают из Интернет-магазина Chrome. Это не только для того, чтобы предоставить потребителям дополнительный выбор, но и для того, чтобы позволить разработчикам протестировать код, над которым они работают, прежде чем отправлять его на утверждение.

Однако важно помнить, что любое расширение, установленное вручную, не прошло строгих процедур тестирования Google и может содержать всевозможные нежелательные явления.

Насколько вы рискуете?

В 2014 году Google обогнал Microsoft Internet Explorer в качестве доминирующего веб-браузера и теперь представляет почти 35% пользователей Интернета. В результате для любого, кто хочет быстро заработать или распространить вредоносное ПО, он остается заманчивой целью.

Google, по большей части, справился. Были инциденты, но они были единичными. Когда вредоносному ПО удалось проскользнуть, они справились с ним оперативно и с профессионализмом, которого вы ожидаете от Google.

Однако очевидно, что расширения и плагины являются потенциальным вектором атаки. Если вы планируете делать что-то важное, например, входить в систему онлайн-банкинга, вы можете сделать это в отдельном браузере без плагинов или в окне инкогнито. И если у вас есть какие-либо из перечисленных выше расширений, введите хром: // расширения / в адресной строке Chrome, а затем на всякий случай найдите и удалите их.

Вы когда-нибудь случайно устанавливали вредоносное ПО для Chrome? Жить, чтобы рассказать сказку? Я хочу об этом услышать. Напишите мне комментарий ниже, и мы поговорим.

Кредиты изображений: Молоток по разбитому стеклу Через Shutterstock

Делиться Делиться Твитнуть Эл. адрес Dark Web против Deep Web: в чем разница?

Темную сеть и глубокую сеть часто ошибочно принимают за одно и то же. Но это не так, так в чем разница?

Читать далее Похожие темы
  • Браузеры
  • Безопасность
  • Гугл Хром
  • Интернет-безопасность
Об авторе Мэтью Хьюз(Опубликовано 386 статей)

Мэтью Хьюз - разработчик программного обеспечения и писатель из Ливерпуля, Англия. Его редко можно встретить без чашки крепкого черного кофе в руке, и он абсолютно обожает свой Macbook Pro и свою камеру. Вы можете прочитать его блог на http://www.matthewhughes.co.uk и подписаться на него в твиттере на @matthewhughes.

Ещё от Matthew Hughes

Подписывайтесь на нашу новостную рассылку

Подпишитесь на нашу рассылку технических советов, обзоров, бесплатных электронных книг и эксклюзивных предложений!

Нажмите здесь, чтобы подписаться