Home-theater-designers
Přibližně 33% všech uživatelů Chromium má nainstalovaný nějaký druh pluginu prohlížeče. Doplňky nejsou specializovanou, okrajovou technologií používanou výhradně zkušenými uživateli, ale jsou spíše běžným proudem, přičemž většina pochází z Internetového obchodu Chrome a Firefox Add-Ons Marketplace.
Ale jak jsou v bezpečí?
Na základě výzkumu má být předloženo na sympoziu IEEE o zabezpečení a soukromí je odpověď nepříliš . Studie financovaná společností Google zjistila, že desítky milionů uživatelů prohlížeče Chrome mají nainstalovanou řadu různých doplňků založených na malwaru, což představuje 5% celkového provozu na Googlu.
Výsledkem výzkumu bylo vymazání téměř 200 pluginů z Chrome App Store a zpochybnění celkového zabezpečení trhu.
Co tedy Google dělá, aby nás udržel v bezpečí, a jak můžete odhalit nepoctivý doplněk? Zjistil jsem.
Odkud pocházejí doplňky
Říkejte jim, jak chcete - rozšíření prohlížeče, doplňky nebo doplňky - všechny pocházejí ze stejného místa. Nezávislí vývojáři třetích stran vyrábějící produkty, o kterých se domnívají, že slouží potřebám nebo řeší problém.
Doplňky prohlížeče jsou obecně psány pomocí webových technologií, jako je HTML, CSS a JavaScript, a obvykle jsou vytvořeny pro jeden konkrétní prohlížeč, ačkoli existují některé služby třetích stran, které usnadňují vytváření doplňků prohlížeče pro různé platformy.
Jakmile plugin dosáhne úrovně dokončení a je testován, je poté uvolněn. Je možné distribuovat plugin nezávisle, ačkoli drtivá většina vývojářů se místo toho rozhodla distribuovat prostřednictvím obchodů s rozšířeními Mozilla, Google a Microsoft.
Ačkoli, než se dotkne počítače uživatele, musí být testováno, aby bylo zajištěno, že je bezpečné jej používat. Jak to funguje v App Store Google Chrome.
Udržování Chromu v bezpečí
Od odeslání rozšíření až po jeho případné zveřejnění čeká 60 minut. Co se tu stalo? V zákulisí Google zajišťuje, aby plugin neobsahoval žádnou škodlivou logiku nebo cokoli, co by mohlo narušit soukromí nebo bezpečnost uživatelů.
Tento proces je znám jako „Vylepšená ověřování položek“ (IEV) a je to řada přísných kontrol, které zkoumají kód pluginu a jeho chování při instalaci za účelem identifikace malwaru.
Google také vydal „průvodce stylem“ svého druhu, který vývojářům sděluje, jaké chování je povoleno, a výslovně odrazuje ostatní. Například je zakázáno používat vložený JavaScript - JavaScript, který není uložen v samostatném souboru - za účelem snížení rizika proti útokům skriptování mezi weby.
Google také důrazně nedoporučuje používat 'eval', což je programovací konstrukce, která umožňuje kódu spouštět kód a může zavádět nejrůznější bezpečnostní rizika. Rovněž nemají velký zájem o doplňky připojující se ke vzdáleným službám, které nepocházejí od Googlu, protože to představuje riziko útoku Man-In-The-Middle (MITM).
Jedná se o jednoduché kroky, které jsou však většinou účinné při zajišťování bezpečnosti uživatelů. Javvad Malik „Bezpečnostní obhájce společnosti Alienware si myslí, že je to krok správným směrem, ale konstatuje, že největší výzvou při zajišťování bezpečnosti uživatelů je otázka vzdělávání.
„Rozlišování mezi dobrým a špatným softwarem je stále obtížnější. Abych parafrázoval, legitimní software jednoho člověka je jiným škodlivým virem krádeží identity, narušujícím soukromí, kódovaným v útrobách pekla. `` Nechápejte mě špatně, vítám krok společnosti Google odstranit tato škodlivá rozšíření-některá z nich by měla nikdy nebyly zveřejněny. Pro společnosti jako Google je ale výzvou dohlížet na rozšíření a definovat hranice přijatelného chování. Konverzace, která přesahuje bezpečnost nebo technologii, a otázka pro společnost využívající internet jako celek. '
Google si klade za cíl zajistit, aby byli uživatelé informováni o rizicích spojených s instalací doplňků prohlížeče. Každé rozšíření v Google Chrome App Store výslovně uvádí požadovaná oprávnění a nesmí překročit oprávnění, která mu udělíte. Pokud rozšíření požaduje dělat věci, které se zdají neobvyklé, máte důvod k podezření.
Ale příležitostně, jak všichni víme, malware proklouzne.
Windows 10 uvízl ve smyčce restartu
Když to Google špatně pochopí
Google překvapivě drží docela těsnou loď. Hodinky moc neklouže, alespoň pokud jde o Internetový obchod Google Chrome. Když se však něco stane, je to špatné.
- AddToFeedly byl plugin pro Chrome, který uživatelům umožňoval přidat web k jejich předplatným čtečky RSS Feedly. Začalo to život jako legitimní produkt vydal vývojář fandů , ale byl zakoupen za čtyřcifernou částku v roce 2014. Noví majitelé poté doplnili plugin adware SuperFish, který do stránek vkládal reklamu a vytvářel vyskakovací okna. SuperFish získal proslulost na začátku tohoto roku, když se ukázalo, že Lenovo jej dodávalo se všemi svými levnými notebooky Windows.
- Snímek obrazovky webové stránky umožňuje uživatelům zachytit obraz celé webové stránky, kterou navštěvují a která byla nainstalována na více než 1 milion počítačů. Ve Spojených státech však také přenáší informace o uživateli na jedinou IP adresu. Majitelé WebPage Screenshot popřeli jakékoli provinění a trvají na tom, že to bylo součástí jejich postupů zajišťování kvality. Google jej od té doby odstranil z Internetového obchodu Chrome.
- Přidat do Google Chrome bylo nepoctivé rozšíření, které unesené účty na Facebooku a sdílely neautorizované stavy, příspěvky a fotografie. Malware byl šířen prostřednictvím webu, který napodoboval YouTube, a řekl uživatelům, aby si nainstalovali plugin, aby mohli sledovat videa. Google od té doby plugin odstranil.
Vzhledem k tomu, že většina lidí používá Chrome k provádění drtivé většiny svých počítačů, je znepokojující, že se těmto doplňkům podařilo proklouznout skrz trhliny. Ale aspoň tam byl a postup neuspět. Když instalujete rozšíření odjinud, nejste chráněni.
Stejně jako si uživatelé Androidu mohou nainstalovat libovolnou aplikaci, Google jim umožňuje nainstalovat libovolné rozšíření pro Chrome, včetně těch, které nepocházejí z Internetového obchodu Chrome. Nejde jen o to, aby měli spotřebitelé trochu větší výběr, ale aby vývojářům umožnili otestovat kód, na kterém pracovali, než jej odešlou ke schválení.
Je však důležité si uvědomit, že jakékoli ručně nainstalované rozšíření neprošlo přísnými testovacími postupy společnosti Google a může obsahovat nejrůznější nežádoucí chování.
Jak jste v ohrožení?
V roce 2014 Google předstihl Internet Explorer společnosti Microsoft jako dominantní webový prohlížeč a nyní představuje téměř 35% uživatelů internetu. Výsledkem je, že pro každého, kdo chce rychle vydělat peníze nebo distribuovat malware, zůstává lákavým cílem.
Google si s tím většinou dokázal poradit. Došlo k incidentům, ale byly izolovány. Když se malwaru podařilo proklouznout, rychle se s ním vypořádali a s profesionalitou, kterou byste od Googlu očekávali.
Je však jasné, že rozšíření a pluginy jsou potenciálním vektorem útoku. Pokud plánujete dělat něco citlivého, jako je přihlášení k vašemu online bankovnictví, můžete to udělat v samostatném prohlížeči bez pluginů nebo v anonymním okně. A pokud máte některá z výše uvedených rozšíření, zadejte chrome: // rozšíření/ v adresním řádku Chrome, pak je pro jistotu najděte a smažte.
Už jste někdy omylem nainstalovali nějaký malware Chrome? Chcete -li vyprávět příběh? Chci o tom slyšet. Napište mi níže komentář a domluvíme se.
Kredity obrázku: Kladivo na rozbité sklo Přes Shutterstock
Podíl Podíl tweet E-mailem Dark Web vs. Deep Web: Jaký je rozdíl?Dark web a deep web jsou často mylně považovány za jedno a totéž. Ale není tomu tak, v čem je tedy rozdíl?
Číst dále Související témata- Prohlížeče
- Bezpečnostní
- Google Chrome
- Zabezpečení online
Matthew Hughes je softwarový vývojář a spisovatel z anglického Liverpoolu. Málokdy ho najdou bez šálku silné černé kávy v ruce a naprosto zbožňuje svůj Macbook Pro a svůj fotoaparát. Jeho blog si můžete přečíst na http://www.matthewhughes.co.uk a sledovat ho na twitteru na @matthewhughes.
Více od Matthew HughesePřihlaste se k odběru našeho zpravodaje
Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné elektronické knihy a exkluzivní nabídky!
Kliknutím sem se přihlásíte k odběru