Около 33% всех пользователей Chromium имеют какой-то плагин для браузера. Вместо того, чтобы быть нишей, передовой технологией, используемой исключительно опытными пользователями, надстройки, безусловно, являются мейнстримом, большинство из которых поступают из Интернет-магазина Chrome и Рынка надстроек Firefox.
Но насколько они безопасны?
Согласно исследованиям, которые будут представлены на симпозиуме IEEE по безопасности и конфиденциальности, ответ не очень . Исследование, проведенное при поддержке Google, показало, что десятки миллионов пользователей Chrome установили различные вредоносные программы на основе надстроек, что составляет 5% от общего трафика Google.
Исследование привело к тому, что из магазина приложений Chrome было удалено почти 200 плагинов, и поставило под вопрос общую безопасность рынка.
Итак, что делает Google, чтобы обезопасить нас, и как вы можете обнаружить мошенническое дополнение? Я выяснил.
Откуда берутся дополнения
Называйте их как хотите — расширения браузера, плагины или дополнения — все они происходят из одного места. Независимые сторонние разработчики, производящие продукты, которые, по их мнению, служат нуждам или решают проблему.
Дополнения для браузера обычно пишутся с использованием веб-технологий, таких как HTML, CSS и JavaScript. , и обычно они созданы для одного конкретного браузера, хотя есть некоторые сторонние сервисы, которые облегчают создание кроссплатформенных плагинов для браузера.
Как только плагин достиг уровня завершения и протестирован, он выпускается. Можно распространять плагин независимо, хотя подавляющее большинство разработчиков предпочитают распространять их через магазины расширений Mozilla, Google и Microsoft.
Хотя, прежде чем он когда-либо коснется компьютера пользователя, он должен быть протестирован, чтобы гарантировать его безопасное использование. Вот как это работает в магазине приложений Google Chrome.
Сохраняя Chrome Safe
От подачи продления до его возможной публикации 60-минутное ожидание. Что здесь происходит? Что ж, за кулисами Google следит за тем, чтобы плагин не содержал вредоносной логики или чего-либо, что могло бы поставить под угрозу конфиденциальность или безопасность пользователей.
Этот процесс известен как «Расширенная проверка элементов» (IEV) и представляет собой серию строгих проверок, которые проверяют код плагина и его поведение при установке для выявления вредоносных программ.
Google также опубликовал своего рода «руководство по стилю», которое сообщает разработчикам, какое поведение разрешено, и явно обескураживает других. Например, запрещено использовать встроенный JavaScript — JavaScript, который не хранится в отдельном файле, — чтобы снизить риск атак на межсайтовый скриптинг. .
Google также категорически не рекомендует использовать eval — программную конструкцию, которая позволяет коду выполнять код и может создавать всевозможные угрозы безопасности. Они также не очень заинтересованы в подключаемых модулях, подключаемых к удаленным службам, не принадлежащим Google, поскольку это создает риск атаки посередине» (MITM). атака
Это простые шаги, но по большей части они эффективны для обеспечения безопасности пользователей. Джаввад Малик , адвокат по безопасности в Alienware, считает, что это шаг в правильном направлении, но отмечает, что самой большой проблемой в обеспечении безопасности пользователей является проблема образования.
«Различать хорошее и плохое программное обеспечение становится все сложнее. Перефразируя, одно легитимное программное обеспечение человека — это другой, крадущий личность, ставящий под угрозу конфиденциальность вредоносный вирус, закодированный в недрах ада.
«Не поймите меня неправильно, я приветствую решение Google об удалении этих вредоносных расширений — некоторые из них никогда не должны были публиковаться. Но задача, стоящая перед такими компаниями, как Google, — это контроль над расширениями и определение границ приемлемого поведения. Разговор, который выходит за рамки безопасности или технологий и является вопросом для общества, использующего интернет в целом ».
Google стремится обеспечить информирование пользователей о рисках, связанных с установкой плагинов для браузера. Каждое расширение в магазине приложений Google Chrome содержит информацию о необходимых разрешениях и не может превышать предоставленные вами разрешения. Если расширение просит сделать что-то необычное, у вас есть основания для подозрений.
Но иногда, как мы все знаем, вредоносное ПО проскальзывает.
Когда Google получает это неправильно
Google, на удивление, держит довольно узкий корабль. Мало что проскальзывает мимо их часов, по крайней мере, когда дело доходит до Интернет-магазина Google Chrome. Однако когда что-то происходит, это плохо.
- AddToFeedly был плагином для Chrome, который позволял пользователям добавлять веб-сайт в их RSS-читатель подписок. Он начал свою жизнь как законный продукт, выпущенный разработчиком-любителем , но был куплен за четырехзначную сумму в 2014 году. Затем новые владельцы добавили в плагин рекламное ПО SuperFish, которое вставляло рекламу в страницы и вызывало всплывающие окна. SuperFish приобрел известность в начале этого года, когда выяснилось, что Lenovo поставляла его со всеми своими недорогими ноутбуками с ОС Windows. ноутбуков
- Снимок экрана веб-страницы позволяет пользователям захватить изображение всей веб-страницы, которую они посещают, и установлено на более чем 1 млн. Компьютеров. Тем не менее, он также передает информацию о пользователях на один IP-адрес в Соединенных Штатах. Владельцы WebPage Screenshot отрицали какие-либо правонарушения и настаивают на том, что это было частью их практики обеспечения качества. С тех пор Google удалил его из Интернет-магазина Chrome.
- Adicionar Ao Google Chrome был мошенническим расширением, которое захватывало учетные записи Facebook. Действия, которые необходимо предпринять и делитесь несанкционированными статусами, постами и фотографиями. Вредонос распространялся через сайт, имитирующий YouTube, и предлагал пользователям установить плагин для просмотра видео. С тех пор Google удалил плагин.
Учитывая, что большинство людей используют Chrome для выполнения большей части своих вычислений, вызывает беспокойство то, что этим плагинам удалось пробиться сквозь трещины. Но, по крайней мере, процедура провалилась. Когда вы устанавливаете расширения из другого места, вы не защищены.
Подобно тому, как пользователи Android могут устанавливать любое приложение по своему усмотрению, Google позволяет устанавливать любое расширение Chrome, которое вы хотите , в том числе те, которые не входят в Chrome Web Store. Это не просто для того, чтобы предоставить потребителям немного дополнительного выбора, а для того, чтобы позволить разработчикам протестировать код, над которым они работали, перед отправкой его на утверждение.
Однако важно помнить, что любое расширение, установленное вручную, не прошло строгие процедуры тестирования Google и может содержать все виды нежелательного поведения.
Насколько вы рискуете?
В 2014 году Google обогнал Microsoft Internet Explorer как доминирующий веб-браузер и теперь представляет почти 35% интернет-пользователей. В результате, для тех, кто хочет быстро заработать или распространить вредоносное ПО, это остается заманчивой целью.
Google, по большей части, смог справиться. Были инциденты, но они были изолированы. Когда вредоносным программам удалось проскользнуть, они с этим справились, и с тем профессионализмом, которого вы ожидаете от Google.
Однако ясно, что расширения и плагины являются потенциальным вектором атаки. Если вы планируете делать что-то деликатное, например войти в свой онлайн-банк, вы можете сделать это в отдельном браузере без плагинов или в инкогнито-окне. И если у вас есть какие-либо из перечисленных выше расширений, введите chrome: // extensions / в адресной строке Chrome, а затем найдите и удалите их, чтобы быть в безопасности.
Вы когда-нибудь случайно устанавливали вредоносное ПО Chrome? Жить, чтобы рассказать историю? Я хочу услышать об этом. Оставьте мне комментарий ниже, и мы будем общаться.
Авторы изображения: молот на осколках стекла через Shutterstock