Πόσο ασφαλές είναι το Chrome Web Store;

Μια μελέτη που χρηματοδοτήθηκε από την Google έχει διαπιστώσει ότι δεκάδες εκατομμύρια χρήστες του Chrome διαθέτουν πρόσθετα που φιλοξενούν κακόβουλο λογισμικό και αντιπροσωπεύουν το 5% της συνολικής επισκεψιμότητας του Google. Είστε ένας από αυτούς τους ανθρώπους και τι πρέπει να κάνετε;

Μια μελέτη που χρηματοδοτήθηκε από την Google έχει διαπιστώσει ότι δεκάδες εκατομμύρια χρήστες του Chrome διαθέτουν πρόσθετα που φιλοξενούν κακόβουλο λογισμικό και αντιπροσωπεύουν το 5% της συνολικής επισκεψιμότητας του Google.  Είστε ένας από αυτούς τους ανθρώπους και τι πρέπει να κάνετε;
Διαφήμιση

Περίπου το 33% όλων των χρηστών του Chromium έχει εγκατεστημένο κάποιο είδος προγράμματος περιήγησης. Αντί να είναι μια εξειδικευμένη τεχνολογία που χρησιμοποιεί αποκλειστικά οι χρήστες ενέργειας, τα add-ons είναι θεμελιώδη, με την πλειοψηφία να προέρχεται από το Chrome Web Store και το Marketplace Add-Ons Marketplace.

Αλλά πόσο ασφαλείς είναι;

Σύμφωνα με έρευνα που πρόκειται να παρουσιαστεί στο Συμπόσιο IEEE για την ασφάλεια και την προστασία της ιδιωτικής ζωής, η απάντηση δεν είναι πολύ . Η μελέτη που χρηματοδοτήθηκε από την Google βρήκε δεκάδες εκατομμύρια χρήστες Chrome έχει εγκαταστήσει κάποια ποικιλία πρόσθετου λογισμικού κακόβουλης λειτουργίας που αντιπροσωπεύει το 5% της συνολικής επισκεψιμότητας του Google.

Η έρευνα κατέληξε στο να αφαιρεθούν περίπου 200 plugins από το Chrome App Store και έθεσαν υπό αμφισβήτηση τη συνολική ασφάλεια της αγοράς.

Λοιπόν, τι κάνει το Google για να μας κρατήσει ασφαλείς και πώς μπορείτε να εντοπίσετε ένα add-on απατεώνων; Εμαθα.

Από πού προέρχονται τα πρόσθετα

Καλέστε τους τι θα κάνετε - επεκτάσεις του προγράμματος περιήγησης, πρόσθετα ή πρόσθετα - όλα προέρχονται από τον ίδιο τόπο. Ανεξάρτητοι προγραμματιστές τρίτων κατασκευαστών προϊόντων που θεωρούν ότι εξυπηρετούν μια ανάγκη ή λύουν ένα πρόβλημα.

επεκτάσεις-χρώμιο

Τα πρόσθετα του προγράμματος περιήγησης γενικά είναι γραμμένα με τεχνολογίες ιστού, όπως HTML, CSS και JavaScript Τι είναι το JavaScript και μπορεί το Διαδίκτυο να υπάρχει χωρίς αυτό; Τι είναι το JavaScript, και μπορεί το Διαδίκτυο να υπάρχει χωρίς αυτό; Το JavaScript είναι ένα από αυτά που πολλοί θεωρούν δεδομένους. Όλοι το χρησιμοποιούν. Διαβάστε περισσότερα και συνήθως είναι κατασκευασμένα για ένα συγκεκριμένο πρόγραμμα περιήγησης, αν και υπάρχουν κάποιες υπηρεσίες άλλων κατασκευαστών που διευκολύνουν τη δημιουργία plug-in προγραμμάτων περιήγησης πολλαπλών πλατφορμών.

Μόλις ένα plugin έχει φτάσει σε επίπεδο ολοκλήρωσης και δοκιμαστεί, τότε απελευθερώνεται. Είναι δυνατή η ανεξάρτητη διανομή ενός plugin, αν και η συντριπτική πλειοψηφία των προγραμματιστών επιλέγει αντί να τα διανείμει μέσω των καταστημάτων επεκτάσεων του Mozilla, Google και της Microsoft.

Παρόλο που, πριν αγγίξει ποτέ τον υπολογιστή ενός χρήστη, πρέπει να δοκιμαστεί για να βεβαιωθεί ότι είναι ασφαλές στη χρήση του. Δείτε πώς λειτουργεί το Google Chrome App Store.

Διατηρώντας το Chrome ασφαλές

Από την υποβολή μιας επέκτασης έως την ενδεχόμενη δημοσίευσή της υπάρχει 60 λεπτά αναμονή. Τι συμβαίνει εδώ? Λοιπόν, πίσω από τις σκηνές, η Google βεβαιώνεται ότι το plugin δεν περιέχει κακόβουλη λογική ή οτιδήποτε μπορεί να θέσει σε κίνδυνο την ιδιωτικότητα ή την ασφάλεια των χρηστών.

Αυτή η διαδικασία είναι γνωστή ως "Επικύρωση ενισχυμένου αντικειμένου" (IEV) και αποτελεί μια σειρά αυστηρών ελέγχων που εξετάζουν τον κώδικα της προσθήκης και τη συμπεριφορά του κατά την εγκατάσταση, προκειμένου να εντοπιστούν τα κακόβουλα προγράμματα.

Η Google έχει επίσης δημοσιεύσει έναν «οδηγό στυλ», ο οποίος λέει στους προγραμματιστές ποιες συμπεριφορές επιτρέπονται και αποθαρρύνει ρητά τους άλλους. Παραδείγματος χάριν, απαγορεύεται η χρήση JavaScript JavaScript - JavaScript που δεν αποθηκεύεται σε ξεχωριστό αρχείο - προκειμένου να μετριαστεί ο κίνδυνος κατά των επιθέσεων scripting μεταξύ ιστοτόπων Τι είναι το Cross-Site Scripting (XSS) και γιατί είναι μια απειλή για την ασφάλεια Τι είναι Cross -Site Scripting (XSS) και γιατί είναι απειλή για την ασφάλεια Τα τρωτά σημεία σενάριο μεταξύ ιστοτόπων είναι το μεγαλύτερο πρόβλημα ασφάλειας ιστότοπου σήμερα. Οι μελέτες έχουν διαπιστώσει ότι είναι συγκλονιστικά συχνές - το 55% των ιστότοπων περιείχε ευπάθειες XSS το 2011, σύμφωνα με την τελευταία έκθεση της White Hat Security, που κυκλοφόρησε τον Ιούνιο ... Περισσότερα.

επεκτάσεις-κώδικας

Η Google επίσης αποθαρρύνει έντονα τη χρήση του «eval», το οποίο είναι ένα πρόγραμμα προγραμματισμού που επιτρέπει στον κώδικα να εκτελεί κώδικα και μπορεί να εισάγει κάθε είδους κινδύνους ασφαλείας. Επίσης, δεν ενδιαφέρονται ιδιαίτερα για τα plugins που συνδέονται με απομακρυσμένες υπηρεσίες που δεν ανήκουν στην Google, καθώς αυτό δημιουργεί τον κίνδυνο μιας επίθεσης του ανθρώπου στη μέση (MITM). Τι είναι η επίθεση του ανθρώπου στη μέση; Ασφάλεια Jargon Επεξήγηση Τι είναι ένας άνθρωπος-στη-μέση επίθεση; Ασφάλεια Jargon Επεξήγηση Αν έχετε ακούσει για τις επιθέσεις "άνθρωπος-στη-μέση" αλλά δεν είστε σίγουροι τι σημαίνει αυτό, αυτό είναι το άρθρο για εσάς. Διαβάστε περισσότερα .

Αυτά είναι απλά βήματα, αλλά είναι ως επί το πλείστον αποτελεσματικά για την ασφαλή χρήση των χρηστών. Ο Javvad Malik, δικηγόρος ασφαλείας στο Alienware, πιστεύει ότι είναι ένα βήμα προς τη σωστή κατεύθυνση, αλλά σημειώνει ότι η μεγαλύτερη πρόκληση για την ασφάλεια των χρηστών είναι ένα ζήτημα εκπαίδευσης.

"Η διάκριση μεταξύ καλού και κακού λογισμικού γίνεται όλο και πιο δύσκολη. Για να παραφράσω, ένα νόμιμο λογισμικό είναι ένας άλλος άνθρωπος που κλέβει την ταυτότητα, που διακινδυνεύει τον κακόβουλο ιό που κωδικοποιείται στα έγκατα της κόλασης.

"Μην με ενοχλείτε, χαιρετίζω την κίνηση της Google για την κατάργηση αυτών των κακόβουλων επεκτάσεων - ορισμένες από αυτές δεν θα έπρεπε ποτέ να έχουν δημοσιοποιηθεί για να ξεκινήσετε. Αλλά η πρόκληση που προχωράμε για εταιρείες όπως το Google είναι η αστυνόμευση των επεκτάσεων και ο καθορισμός των ορίων της αποδεκτής συμπεριφοράς. Μια συζήτηση που εκτείνεται πέρα ​​από μια ασφάλεια ή τεχνολογία και μια ερώτηση για την κοινωνία που χρησιμοποιεί το Διαδίκτυο γενικά ».

Η Google στοχεύει να διασφαλίσει ότι οι χρήστες ενημερώνονται για τους κινδύνους που σχετίζονται με την εγκατάσταση των plugins του προγράμματος περιήγησης. Κάθε επέκταση στο Google Chrome App Store είναι ρητή σχετικά με τα απαιτούμενα δικαιώματα και δεν μπορεί να υπερβεί τα δικαιώματα που τα δίνετε. Εάν μια επέκταση ζητά να κάνετε πράγματα που φαίνονται ασυνήθιστα, τότε έχετε αιτία υποψίας.

Αλλά περιστασιακά, όπως όλοι γνωρίζουμε, το κακόβουλο λογισμικό γλίστρησε.

Όταν η Google δεν το κάνει σωστά

Το Google, εκπληκτικά, διατηρεί αρκετά σφιχτό πλοίο. Δεν παρεκκλίνει πολύ από το ρολόι τους, τουλάχιστον όταν πρόκειται για το Google Chrome Web Store. Όταν κάτι κάνει, όμως, είναι κακό.

  • AddToFeedly ήταν ένα πρόσθετο Chrome που επέτρεψε στους χρήστες να προσθέσουν έναν ιστότοπο στον Feedly RSS reader τους Feedly, Reviewed: Τι κάνει αυτό μια τέτοια δημοφιλής αντικατάσταση του Google Reader; Feedly, αναθεωρηθεί: Τι κάνει αυτό μια τέτοια δημοφιλής αντικατάσταση Google Reader; Τώρα που το Google Reader δεν είναι παρά μια μακρινή μνήμη, ο αγώνας για το μέλλον του RSS είναι αληθινός. Ένα από τα πιο αξιοσημείωτα προϊόντα που αγωνίζονται για την καλή μάχη είναι η Feedly. Το Google Reader δεν ήταν ... Διαβάστε περισσότερες συνδρομές. Ξεκίνησε τη ζωή ως ένα νόμιμο προϊόν που κυκλοφόρησε από έναν προγραμματιστή χόμπι, αλλά αγοράστηκε για ένα ποσό τεσσάρων αριθμών το 2014. Οι νέοι ιδιοκτήτες έβαλαν στη συνέχεια το plugin με το adware SuperFish, το οποίο έβαζε τη διαφήμιση σε σελίδες και δημιούργησε αναδυόμενα παράθυρα. Η SuperFish απέκτησε φήμη νωρίτερα φέτος, όταν έγινε η μετάδοση της Lenovo, την είχε στείλει με όλους τους φορητούς υπολογιστές χαμηλού τέλους Windows Lenovo Laptop Owners Προσοχή: Η συσκευή σας μπορεί να έχει προεγκατεστημένο Malware Lenovo Laptop Owners Beware: Η συσκευή σας μπορεί να έχει προεγκατεστημένο Malware ότι οι φορητοί υπολογιστές που αποστέλλονται στα καταστήματα και στους καταναλωτές στα τέλη του 2014 είχαν προεγκατεστημένα κακόβουλα προγράμματα. Διαβάστε περισσότερα .
  • Το Screenshot WebPage επιτρέπει στους χρήστες να αποτυπώνουν μια εικόνα ολόκληρης μιας ιστοσελίδας που επισκέπτονται και έχει εγκατασταθεί σε πάνω από 1 εκατομμύριο υπολογιστές. Ωστόσο, έχει επίσης μεταδώσει τις πληροφορίες χρήστη σε μια ενιαία διεύθυνση IP στις Ηνωμένες Πολιτείες. Οι ιδιοκτήτες του Screenshot WebPage έχουν αρνηθεί οποιαδήποτε παραβίαση και επιμένουν ότι ήταν μέρος των πρακτικών εξασφάλισης ποιότητας τους. Από τότε το Google το έχει καταργήσει από το Chrome Web Store.
  • Adicionar Ao Το Google Chrome ήταν μια παράνομη επέκταση που αφορούσε τους λογαριασμούς στο Facebook 4 Πράγματα που πρέπει να κάνετε αμέσως όταν ο λογαριασμός σας στο Facebook είναι πειρατεμένος 4 πράγματα που πρέπει να κάνετε αμέσως όταν ο λογαριασμός σας στο Facebook είναι χαραγμένος Η κατοχή του λογαριασμού σας στο Facebook έχει χαθεί είναι ένας εφιάλτης. Ένας ξένος έχει τώρα πρόσβαση σε όλες τις προσωπικές σας πληροφορίες και μπορεί να παρενοχλήσει τους φίλους και τους οπαδούς σας. Ακολουθεί το τι μπορείτε να κάνετε για να περιορίσετε τις ζημιές. Διαβάστε περισσότερα και μοιραστείτε μη εξουσιοδοτημένες καταστάσεις, αναρτήσεις και φωτογραφίες. Το κακόβουλο λογισμικό εξαπλώθηκε μέσω ενός ιστότοπου που μίμησε το YouTube και είπε στους χρήστες να εγκαταστήσουν το plugin για να παρακολουθήσουν βίντεο. Από τότε η Google έχει καταργήσει την προσθήκη.

Δεδομένου ότι οι περισσότεροι άνθρωποι χρησιμοποιούν το Chrome για να κάνουν τη συντριπτική πλειοψηφία των υπολογιστών τους, είναι ενοχλητικό ότι αυτά τα plugins κατάφεραν να γλιστρήσουν μέσα από τις ρωγμές. Αλλά τουλάχιστον υπήρξε μια διαδικασία αποτυχίας. Όταν εγκαθιστάτε επεκτάσεις από αλλού, δεν προστατεύεστε.

Όπως η Google μπορεί να εγκαταστήσει οποιαδήποτε εφαρμογή που επιθυμεί, η Google σας επιτρέπει να εγκαταστήσετε οποιαδήποτε επέκταση Chrome που θέλετε Πώς να εγκαταστήσετε τις επεκτάσεις Chrome με μη αυτόματο τρόπο Πώς να εγκαταστήσετε τις επεκτάσεις Chrome με μη αυτόματο τρόπο Η Google αποφάσισε πρόσφατα να απενεργοποιήσει την εγκατάσταση των επεκτάσεων του Chrome από ιστότοπους τρίτων οι χρήστες εξακολουθούν να θέλουν να εγκαταστήσουν αυτές τις επεκτάσεις. Δείτε πώς να το κάνετε. Διαβάστε περισσότερα, συμπεριλαμβανομένων αυτών που δεν προέρχονται από το Chrome Web Store. Αυτό δεν είναι μόνο για να δώσει στους καταναλωτές μια μικρή επιπλέον επιλογή, αλλά μάλλον να επιτρέψει στους προγραμματιστές να δοκιμάσουν τον κώδικα στον οποίο εργάζονταν πριν την αποστείλουν προς έγκριση.

επεκτάσεις-χειροκίνητα

Ωστόσο, είναι σημαντικό να θυμάστε ότι οποιαδήποτε επέκταση που έχει εγκατασταθεί με μη αυτόματο τρόπο δεν έχει περάσει από τις αυστηρές διαδικασίες ελέγχου της Google και μπορεί να περιέχει κάθε είδους ανεπιθύμητη συμπεριφορά.

Πώς είστε σε κίνδυνο;

Το 2014, η Google ξεπέρασε τον Internet Explorer της Microsoft ως κυρίαρχο πρόγραμμα περιήγησης ιστού και αντιπροσωπεύει πλέον σχεδόν το 35% των χρηστών του Διαδικτύου. Ως αποτέλεσμα, για όποιον θέλει να κάνει γρήγορο buck ή να διανείμει malware, παραμένει ένας δελεαστικός στόχος.

Η Google, ως επί το πλείστον, κατάφερε να αντιμετωπίσει. Έχουν συμβεί, αλλά έχουν απομονωθεί. Όταν το κακόβουλο λογισμικό κατάφερε να περάσει, το αντιμετώπισαν με ταχύτητα και με τον επαγγελματισμό που θα περιμένατε από την Google.

Εντούτοις, είναι σαφές ότι οι επεκτάσεις και τα πρόσθετα είναι ένας δυνητικός φορέας επίθεσης. Αν σχεδιάζετε να κάνετε οτιδήποτε ευαίσθητο, όπως είσοδος στην ηλεκτρονική τραπεζική σας συναλλαγή, ίσως θελήσετε να το κάνετε αυτό σε ξεχωριστό πρόγραμμα περιήγησης χωρίς plugin ή σε παράθυρο ανώνυμης περιήγησης. Και αν έχετε κάποια από τις επεκτάσεις που αναφέρθηκαν παραπάνω, πληκτρολογήστε chrome: // extensions / στη γραμμή διευθύνσεων του Chrome και στη συνέχεια να τις βρείτε και να τις διαγράψετε, για να είστε ασφαλείς.

Έχετε ποτέ εγκαταστήσει κατά λάθος κάποιο κακόβουλο πρόγραμμα Chrome; Ζήστε για να πείτε την ιστορία; Θέλω να το ακούσω. Αφήστε μου ένα σχόλιο παρακάτω και θα συζητήσουμε.

Credits εικόνας: Σφυρί σε θρυμματισμένο γυαλί Μέσω του Shutterstock

In this article