Mennyire biztonságos a Chrome Internetes áruház?

Hirdetés

A Chromium összes felhasználójának körülbelül 33% -ánál van telepítve valamilyen böngésző-bővítmény. Ahelyett, hogy rést jelentene, és amelyet kizárólag a villamosenergia-felhasználók használnak, a kiegészítők pozitívan érvényesülnek, a legtöbbjük a Chrome Internetes áruházból és a Firefox kiegészítők piacából származik.

De mennyire biztonságosak?

Kutatások szerint bemutatásra vár az IEEE biztonsági és adatvédelmi szimpóziumán a válasz: Nem nagyon. A Google által finanszírozott tanulmány szerint a Chrome-felhasználók tízmillióira telepítették különféle kiegészítő alapú malware szoftvereket, amelyek a Google teljes forgalmának 5% -át teszik ki.

A kutatás eredményeként majdnem 200 bővítményt tisztítottak ki a Chrome App Store-ból, és megkérdőjelezték a piac általános biztonságát.

Szóval, mit csinál a Google a biztonság érdekében, és hogyan fedezheti fel egy szélhámos kiegészítőt? Kitaláltam.

Honnan jönnek a kiegészítők?

Hívja őket, amit akarsz - böngészőbővítmények, bővítmények vagy kiegészítők -, ugyanabból a helyről származnak. Független, harmadik féltől származó fejlesztők, akik olyan termékeket gyártanak, amelyek igényeik szerint szolgálnak, vagy megoldnak egy problémát.

A böngésző kiegészítőit általában webes technológiák, például HTML, CSS, és a JavaScript Mi a JavaScript, és létezhet-e az internet nélkül?A JavaScript egyike azoknak a dolgoknak, amelyek sokan nyilvánvalóak. Mindenki használja. Olvass tovább , és általában egy adott böngészőre épülnek, bár vannak olyan harmadik fél által nyújtott szolgáltatások, amelyek megkönnyítik a platformok közötti böngésző bővítmények létrehozását.

Miután egy plugin elérte a készségi szintet és tesztelték, azt majd kiadják. Lehetőség van egy plugin független terjesztésére, bár a fejlesztők túlnyomó többsége inkább a Mozilla, a Google és a Microsoft kiterjesztésű áruházaiban terjeszti őket.

Annak ellenére, hogy mielőtt megérintené a felhasználó számítógépét, meg kell vizsgálni, hogy biztonságos-ea használata. Így működik a Google Chrome App Store-ban.

A Chrome biztonságban tartása

A kiterjesztés benyújtásától a végleges közzétételéig 60 perc várakozás vár. Mi történik itt? A színfalak mögött a Google gondoskodik arról, hogy a beépülő modul ne tartalmazzon rosszindulatú logikát vagy bármit, ami veszélyeztetheti a felhasználók adatvédelmét vagy biztonságát.

Ez a folyamat „Enhanced Item Validation” (IEV) néven ismert, és szigorú ellenőrzések sorozatát képezi, amely megvizsgálja a plugin kódját és viselkedését telepítéskor a rosszindulatú programok azonosítása érdekében.

A Google-nak is van kiadott egy „stílusútmutatót” olyan fajta, amely megmondja a fejlesztőknek, hogy milyen viselkedés megengedett, és kifejezetten elriasztja a többieket. Például tilos a beépített JavaScript használata - a JavaScript, amelyet nem külön fájlban tárolnak - annak érdekében, hogy enyhítsék a webhelyek közötti szkriptek támadások Mi az a helyszíni szkriptek (XSS), és miért ez a veszély?A legtöbb webhely-biztonsági probléma manapság a webhelyek közötti szkript-biztonsági rések. A tanulmányok szerint sokkolóan általánosak - a White Hat Security legfrissebb, júniusban kiadott jelentése szerint a webhelyek 55% -a tartalmazott XSS sebezhetőséget 2011-ben ... Olvass tovább .

A Google határozottan elutasítja az „eval” használatát, amely egy programozási konstrukció, amely lehetővé teszi a kód számára a kód végrehajtását, és mindenféle biztonsági kockázatot bevezethet. Nem is nagyon vágynak a távoli, nem a Google szolgáltatásaihoz csatlakozó bővítményekre, mivel ez egy Közép-ember (MITM) támadás Mi az a középtámadó támadás? A biztonsági zárószó magyarázataHa hallottál a „középső ember” támadásokról, de nem vagy biztos abban, hogy ez mit jelent, ez a cikk az Ön számára. Olvass tovább .

Ezek egyszerű lépések, de a felhasználók biztonságának megőrzése érdekében nagyrészt hatékonyak. Javvad Malik, Az Alienware biztonsági tanácsadója úgy véli, hogy ez egy lépés a helyes irányba, de megjegyzi, hogy a felhasználók biztonságának megőrzése során a legnagyobb kihívás az oktatás kérdése.

„A jó és rossz szoftverek közötti különbségtétel egyre nehezebbé válik. Átfogalmazva: az egyik ember legális szoftvere egy másik személyazonosság-lopó, magánéletét veszélyeztető rosszindulatú vírus, amely a pokol bélén van kódolva.

„Ne tévess fel, üdvözlöm a Google arra irányuló lépését, hogy távolítsa el ezeket a rosszindulatú kiterjesztéseket - ezek közül néhányat soha nem kellett volna nyilvánosságra hozni. De a Google, mint például a Google előtt álló kihívás a kiterjesztések ellenőrzése és az elfogadható viselkedés határainak meghatározása. Olyan beszélgetés, amely túlmutat a biztonságon vagy a technológián, és egy kérdés az egész internetet használó társadalom számára. ”

A Google célja annak biztosítása, hogy a felhasználókat tájékoztassák a böngésző-bővítmények telepítésével kapcsolatos kockázatokról. A Google Chrome App Store minden kiterjesztése kifejezetten meghatározza a szükséges engedélyeket, és nem haladhatja meg a megadott engedélyeket. Ha egy kiterjesztés szokatlannak tűnő dolgok elvégzését kéri, akkor gyanú merül fel.

De alkalmanként, amint mindannyian tudjuk, a rosszindulatú programok átcsúsznak.

Amikor a Google rosszul ismeri el

A Google meglepő módon elég szűk hajót tart. Nem sokat csúszik az órájuk mögött, legalábbis amikor a Google Chrome Internetes áruházra vonatkozik. Amikor valami nem, akkor rossz.

• AddToFeedly egy Chrome-bővítmény volt, amely lehetővé tette a felhasználók számára, hogy webhelyet hozzanak létre saját webhelyükre Feedly RSS olvasó Feedly, áttekintve: Mi teszi ezt a népszerű Google Reader-csereprogramot?Most, hogy a Google Reader csak távoli emlékezet, az RSS jövőjéért folytatott küzdelem valóban folytatódik. A jó harc egyik legjelentősebb terméke a Feedly. A Google Reader nem volt ... Olvass tovább előfizetések. Jó termékként kezdte az életet kiadta egy hobbi sportfejlesztő, de 2014-ben négy számjegyből vették. Az új tulajdonosok ezt követően beillesztik a plugin-t a SuperFish adware-vel, amely az oldalakon reklámozott és felbukkanó pop-upokat hozott létre. A SuperFish hírnévre tett szert az év elején, amikor átterjedt A Lenovo az összes low-end Windows laptopnal együtt szállította A Lenovo hordozható számítógép tulajdonosai vigyázzanak: Lehet, hogy az eszköz előre telepítette a rosszindulatú programokatA Lenovo kínai számítógépgyártó elismerte, hogy az üzletekbe és a fogyasztókba 2014 végén szállított laptopok előre telepítették a rosszindulatú programokat. Olvass tovább .
• A WebPage képernyőképe lehetővé teszi a felhasználók számára a megtekintett webhelyek teljes képének elkészítését, és több mint egymillió számítógépre lett telepítve. Ugyanakkor a felhasználói információkat egyetlen IP-címre továbbítja az Egyesült Államokban. A WebPage Screenshot tulajdonosai tagadták a jogsértéseket, és ragaszkodtak ahhoz, hogy ez része volt a minőségbiztosítási gyakorlatuknak. A Google azóta eltávolította azt a Chrome Internetes áruházból.
• A Google Chrome kiegészítője egy szélhámos kiterjesztés eltérített Facebook-fiókok Azonnal 4 tennivaló, ha feltörték a Facebook-fiókodHa arra gyanakszik, hogy Facebook-fiókját feltörték, akkor itt kell megtenni, hogy megtudja és visszanyerje az irányítást. Olvass tovább , és megosztott jogosulatlan állapotokat, bejegyzéseket és fényképeket. A rosszindulatú szoftvert egy olyan webhelyen terjesztették el, amely utánozta a YouTube-ot, és arra szólította fel a felhasználókat, hogy telepítsék a plugint a videók megtekintéséhez. Azóta a Google eltávolította a bővítményt.

Tekintettel arra, hogy a legtöbb ember a számítógépet a számítástechnika túlnyomó többségében használja, aggasztó, hogy ezeknek a plugineknek sikerült átjutniuk a repedésekben. De legalább volt egy eljárás kudarcot vallni. Ha másutt telepít bővítményeket, akkor nem vagyunk védett.

Annak érdekében, hogy az Android felhasználók bármilyen alkalmazást telepítsenek, a Google lehetővé teszi telepítse a kívánt Chrome-bővítményt A Chrome-bővítmények kézi telepítéseA Google nemrégiben úgy döntött, hogy letiltja a Chrome kiterjesztések telepítését harmadik fél webhelyeiről, de egyes felhasználók továbbra is telepíteni akarják ezeket a kiterjesztéseket. Itt van, hogyan kell csinálni. Olvass tovább , beleértve azokat is, amelyek nem a Chrome Internetes áruházból származnak. Ez nemcsak az, hogy a fogyasztók számára további extra választási lehetőséget biztosítson, hanem inkább annak lehetővé tétele, hogy a fejlesztők kipróbálhassák azt a kódot, amelyen dolgoznak, mielőtt jóváhagyásra elküldték.

Fontos azonban emlékezni, hogy a manuálisan telepített kiterjesztések nem mentek át a Google szigorú tesztelési eljárásain, és tartalmazhatnak mindenféle nemkívánatos viselkedést.

Mennyire vagytok veszélyben?

2014-ben a Google felülmúlta a Microsoft Internet Explorert mint domináns böngészőt, és az internetes felhasználók közel 35% -át képviseli. Ennek eredményeként mindenki, aki gyors dolgot szeretne készíteni vagy rosszindulatú szoftvert terjeszteni, továbbra is csábító célpont marad.

A Google nagyrészt képes volt megbirkózni. Voltak események, de elszigeteltek. Amikor a rosszindulatú szoftvereknek sikerült átjutniuk, célszerűen és a Google-tól elvárt professzionalizmussal kezelték őket.

Világos azonban, hogy a kiterjesztések és a bővítmények potenciális támadási vektorok. Ha bármilyen érzékeny tevékenységet tervez, például belép az online banki szolgáltatásokba, érdemes lehet ezt külön, plugin nélküli böngészőben vagy inkognitóablakban megtennie. És ha rendelkezik a fent felsorolt ​​kiterjesztésekkel, írja be chrome: // extensions / a Chrome címsávján, majd keresse meg és törölje őket, csak a biztonság érdekében.

Véletlenül telepített valamilyen Chrome malware-t? Élő mondani a mese? Hallani akarok róla. Írj nekem egy megjegyzést az alábbiakba, és beszélgetni fogunk.

Kép kreditek: Kalapács összetört üveggel Via Shutterstock útján