Hvor trygg er Chrome Nettmarked uansett?

Hvor trygg er Chrome Nettmarked uansett?

Rundt 33% av alle Chromium -brukere har en slags nettleser -plugin installert. I stedet for å være en nisje, kantteknologi som utelukkende brukes av kraftbrukere, er tilleggsprogrammer positivt mainstream, med de fleste fra Chrome Nettmarked og Firefox Add-Ons Marketplace.





Men hvor trygge er de?



Ifølge undersøkelser skal presenteres på IEEE Symposium on Security and Privacy, er svaret ikke veldig . Den Google-finansierte studien fant at titalls millioner av Chrome-brukere har et utvalg av tilleggsprogrammer basert på skadelig programvare, som representerer 5% av den totale Google-trafikken.





Undersøkelsen resulterte i at nesten 200 plugins ble skrubbet fra Chrome App Store, og satte spørsmålstegn ved den generelle sikkerheten på markedet.

Så hva gjør Google for å holde oss trygge, og hvordan kan du oppdage et useriøst tillegg? Jeg fant ut.



Hvor kommer tilleggene fra

Kall dem det du vil - nettleserutvidelser, plugins eller tillegg - de kommer alle fra samme sted. Uavhengige tredjepartsutviklere som produserer produkter som de mener tjener et behov, eller løser et problem.

Nettlesertillegg er vanligvis skrevet ved hjelp av webteknologier, for eksempel HTML, CSS og JavaScript, og er vanligvis bygget for en bestemt nettleser, selv om det er noen tredjepartstjenester som letter opprettelsen av plugins på tvers av plattformer.



Når et programtillegg har nådd et fullføringsnivå og er testet, slippes det deretter. Det er mulig å distribuere et plugin uavhengig, selv om de aller fleste utviklere i stedet velger å distribuere dem gjennom Mozilla, Google og Microsofts utvidelsesbutikker.

Selv om den må berøres av en brukers datamaskin, må den testes for å sikre at den er trygg å bruke. Slik fungerer det i Google Chrome App Store.



Holder Chrome trygg

Fra innsending av utvidelse, til eventuell publisering, er det 60 minutters ventetid. hva skjer her? Bak kulissene sørger Google for at pluginet ikke inneholder noen ondsinnet logikk eller noe som kan svekke personvernet eller sikkerheten til brukerne.

Denne prosessen er kjent som 'Enhanced Item Validation' (IEV), og er en serie med strenge kontroller som undersøker en plugins kode og dens oppførsel når den er installert, for å identifisere skadelig programvare.

Google har også publiserte en 'style guide' av slags som forteller utviklere hvilken oppførsel som er tillatt, og uttrykkelig motvirker andre. For eksempel er det forbudt å bruke innebygd JavaScript - JavaScript som ikke er lagret i en egen fil - for å redusere risikoen mot skriptangrep på tvers av nettsteder.

Google fraråder også på det sterkeste bruk av 'eval', som er en programmeringskonstruksjon som gjør at kode kan utføre kode, og kan innføre alle slags sikkerhetsrisiko. De er heller ikke veldig ivrige etter plugins som kobles til eksterne tjenester som ikke er fra Google, da dette utgjør risikoen for et Man-In-The-Middle (MITM) -angrep.

Dette er enkle trinn, men er for det meste effektive for å holde brukerne trygge. Javvad Malik , Security Advocate i Alienware, mener det er et skritt i riktig retning, men bemerker at den største utfordringen med å holde brukerne trygge er et spørsmål om utdanning.

'Å skille mellom god og dårlig programvare blir stadig vanskeligere. For å omskrive, en mans legitime programvare er en annen manns identitet-stjeler, personvern-kompromitterende ondsinnet virus kodet i tarmene til helvete. 'Ikke misforstå, jeg ønsker at Google ønsker å fjerne disse ondsinnede utvidelsene-noen av disse burde aldri blitt offentliggjort til å begynne med. Men utfordringen fremover for selskaper som Google er å politiet utvidelsene og definere grensene for hva som er akseptabel oppførsel. En samtale som strekker seg utover en sikkerhet eller teknologi og et spørsmål for samfunnet som bruker internett generelt. '

Google har som mål å sikre at brukerne blir informert om risikoen forbundet med å installere nettleser -plugins. Hver utvidelse i Google Chrome App Store er eksplisitt om tillatelsene som kreves, og kan ikke overstige tillatelsene du gir den. Hvis en forlengelse ber om å gjøre ting som virker uvanlige, har du grunn til mistanke.

Men noen ganger, som vi alle vet, slipper malware gjennom.

hvordan sjekke om en lenke er trygg

Når Google tar feil

Google holder overraskende nokså tett. Ikke mye glir forbi klokken, i hvert fall når det gjelder Google Chrome Nettmarked. Når noe gjør det, er det imidlertid ille.

  • AddToFeedly var en Chrome -plugin som tillot brukere å legge til et nettsted i feedly RSS -leserabonnementene sine. Det startet livet som et legitimt produkt utgitt av en hobbyutvikler , men ble kjøpt for en firesifret sum i 2014. De nye eierne snudde deretter pluginet med SuperFish-adware, som injiserte reklame på sider og skapte popup-vinduer. SuperFish ble beryktet tidligere i år da det viste seg at Lenovo hadde sendt den med alle sine avanserte bærbare Windows-datamaskiner.
  • Nettside -skjermbilde lar brukerne ta et bilde av hele websiden de besøker, og har blitt installert på over 1 million datamaskiner. Imidlertid har den også overført brukerinformasjon til en enkelt IP -adresse i USA. Eierne av WebPage Screenshot har nektet for feil, og insisterer på at det var en del av deres kvalitetssikringspraksis. Siden har Google fjernet det fra Chrome Nettmarked.
  • Legg til i Google Chrome var en useriøs utvidelse som kapret Facebook -kontoer , og delte uautoriserte statuser, innlegg og bilder. Skadelig programvare ble spredt gjennom et nettsted som etterlignet YouTube, og ba brukerne installere programtillegget for å se videoer. Google har siden fjernet pluginet.

Gitt at de fleste bruker Chrome til å gjøre det store flertallet av databehandlingen, er det bekymringsfullt at disse pluginene klarte å gli gjennom sprekker. Men det var i det minste en fremgangsmåte å mislykkes. Når du installerer utvidelser fra andre steder, er du ikke beskyttet.

På samme måte som Android -brukere kan installere hvilken som helst app de ønsker, lar Google deg installere hvilken som helst Chrome -utvidelse, inkludert de som ikke kommer fra Chrome Nettmarked. Dette er ikke bare for å gi forbrukerne litt ekstra valg, men heller for å la utviklere teste koden de har jobbet med før de sender den ut for godkjenning.

Det er imidlertid viktig å huske at enhver utvidelse som er installert manuelt ikke har gått gjennom Googles strenge testprosedyrer, og kan inneholde all slags uønsket oppførsel.

Hvor utsatt er du?

I 2014 overtok Google Microsofts Internet Explorer som den dominerende nettleseren, og representerer nå nesten 35% av Internett -brukerne. Som et resultat er det fortsatt et fristende mål for alle som ønsker å tjene penger eller distribuere skadelig programvare.

Google har stort sett klart å takle det. Det har vært hendelser, men de har blitt isolert. Når skadelig programvare har klart å slippe gjennom, har de håndtert det hensiktsmessig og med profesjonaliteten du forventer av Google.

Imidlertid er det klart at utvidelser og plugins er en potensiell angrepsvektor. Hvis du planlegger å gjøre noe sensitivt, for eksempel å logge deg på nettbanken din, kan det være lurt å gjøre det i en egen, plugin-fri nettleser eller et inkognitovindu. Og hvis du har noen av utvidelsene som er oppført ovenfor, skriver du inn chrome: // extensions/ i adresselinjen i Chrome, og finn og slett dem, for å være trygg.

Har du noen gang installert noen Chrome -skadelig programvare ved et uhell? Lev for å fortelle historien? Jeg vil høre om det. Send meg en kommentar nedenfor, så snakker vi.

Bildekreditter: Hammer på knust glass Via Shutterstock

Dele Dele kvitring E -post Dark Web vs. Deep Web: Hva er forskjellen?

Det mørke nettet og det dype nettet blir ofte forvekslet med å være det samme. Men det er ikke tilfelle, så hva er forskjellen?

Les neste Relaterte temaer
  • Nettlesere
  • Sikkerhet
  • Google Chrome
  • Online sikkerhet
Om forfatteren Matthew Hughes(386 artikler publisert)

Matthew Hughes er en programvareutvikler og forfatter fra Liverpool, England. Han blir sjelden funnet uten en kopp sterk svart kaffe i hånden og elsker absolutt Macbook Pro og kameraet. Du kan lese bloggen hans på http://www.matthewhughes.co.uk og følge ham på twitter på @matthewhughes.

Mer fra Matthew Hughes

Abonner på vårt nyhetsbrev

Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis ebøker og eksklusive tilbud!

Klikk her for å abonnere