Διαφήμιση
Περίπου το 33% όλων των χρηστών του Chromium έχουν εγκαταστήσει κάποιο είδος προγράμματος περιήγησης. Αντί να είναι μια εξειδικευμένη τεχνολογία αιχμής που χρησιμοποιείται αποκλειστικά από χρήστες ενέργειας, τα πρόσθετα είναι θετικά mainstream, με την πλειοψηφία να προέρχεται από το Chrome Web Store και το Firefox Add-Ons Marketplace.
Αλλά πόσο ασφαλείς είναι;
Σύμφωνα με έρευνα αναμένεται να παρουσιαστεί στο IEEE Symposium on Security and Privacy, η απάντηση είναι όχι πολύ. Η μελέτη που χρηματοδοτήθηκε από την Google διαπίστωσε ότι δεκάδες εκατομμύρια χρήστες Chrome έχουν εγκαταστήσει κάποια ποικιλία κακόβουλου λογισμικού με βάση πρόσθετα, το οποίο αντιπροσωπεύει το 5% της συνολικής επισκεψιμότητας της Google.
Η έρευνα είχε ως αποτέλεσμα τον καθαρισμό σχεδόν 200 προσθηκών από το Chrome App Store και την αμφισβήτηση της συνολικής ασφάλειας της αγοράς.
Λοιπόν, τι κάνει η Google για να μας κρατήσει ασφαλείς και πώς μπορείτε να εντοπίσετε ένα κακόβουλο πρόσθετο; Εμαθα.
Από πού προέρχονται τα πρόσθετα
Καλέστε τους ό, τι θέλετε - επεκτάσεις προγράμματος περιήγησης, πρόσθετα ή πρόσθετα - όλα προέρχονται από το ίδιο μέρος. Ανεξάρτητοι προγραμματιστές τρίτων κατασκευαστών που παράγουν προϊόντα που πιστεύουν ότι εξυπηρετούν μια ανάγκη ή επιλύουν ένα πρόβλημα.
Τα πρόσθετα του προγράμματος περιήγησης γράφονται γενικά χρησιμοποιώντας τεχνολογίες ιστού, όπως HTML, CSS, και JavaScript Τι είναι το JavaScript και μπορεί να υπάρχει το Διαδίκτυο χωρίς αυτό;Το JavaScript είναι ένα από αυτά τα πράγματα που πολλοί θεωρούν δεδομένο. Όλοι το χρησιμοποιούν. Διαβάστε περισσότερα , και συνήθως έχουν δημιουργηθεί για ένα συγκεκριμένο πρόγραμμα περιήγησης, αν και υπάρχουν κάποιες υπηρεσίες τρίτων που διευκολύνουν τη δημιουργία προσθηκών προγράμματος περιήγησης μεταξύ πλατφορμών.
Μόλις ένα plugin φτάσει σε επίπεδο ολοκλήρωσης και δοκιμαστεί, τότε κυκλοφορεί. Είναι δυνατόν να διανείμετε μια προσθήκη ανεξάρτητα, αν και η συντριπτική πλειοψηφία των προγραμματιστών επιλέγει να τα διανείμει μέσω των καταστημάτων επέκτασης Mozilla, Google και Microsoft.
Παρόλο που, πριν αγγίξει ποτέ τον υπολογιστή ενός χρήστη, πρέπει να δοκιμαστεί για να διασφαλιστεί ότι είναι ασφαλές στη χρήση. Δείτε πώς λειτουργεί στο Google Chrome App Store.
Διατηρώντας το Chrome ασφαλές
Από την υποβολή μιας επέκτασης, έως την τελική δημοσίευσή της, υπάρχει 60 λεπτά αναμονής. Τι συμβαίνει εδώ? Λοιπόν, πίσω από τα παρασκήνια, η Google διασφαλίζει ότι η προσθήκη δεν περιέχει κακόβουλη λογική ή κάτι που θα μπορούσε να θέσει σε κίνδυνο το απόρρητο ή την ασφάλεια των χρηστών.
Αυτή η διαδικασία είναι γνωστή ως "Enhanced Item Validation" (IEV) και είναι μια σειρά αυστηρών ελέγχων που εξετάζει τον κώδικα μιας προσθήκης και τη συμπεριφορά του κατά την εγκατάσταση, προκειμένου να εντοπιστεί κακόβουλο λογισμικό.
Η Google έχει επίσης δημοσίευσε έναν "οδηγό στυλ" των ειδών που λέει στους προγραμματιστές ποιες συμπεριφορές επιτρέπονται και αποθαρρύνει ρητά τους άλλους. Για παράδειγμα, απαγορεύεται η χρήση ενσωματωμένης JavaScript - JavaScript που δεν αποθηκεύεται σε ξεχωριστό αρχείο - προκειμένου να μετριαστεί ο κίνδυνος κατά επιθέσεις σεναρίων μεταξύ ιστότοπων Τι είναι το σενάριο μεταξύ ιστότοπων (XSS) και γιατί είναι απειλή για την ασφάλειαΟι ευπάθειες σεναρίων μεταξύ ιστότοπων είναι το μεγαλύτερο πρόβλημα ασφάλειας ιστότοπου σήμερα. Μελέτες έχουν διαπιστώσει ότι είναι συγκλονιστικά συχνές - το 55% των ιστότοπων περιείχαν ευπάθειες XSS το 2011, σύμφωνα με την τελευταία έκθεση της White Hat Security, η οποία κυκλοφόρησε τον Ιούνιο ... Διαβάστε περισσότερα .
Η Google αποθαρρύνει επίσης έντονα τη χρήση του «eval», το οποίο είναι μια κατασκευή προγραμματισμού που επιτρέπει στον κώδικα να εκτελεί κώδικα και μπορεί να εισάγει κάθε είδους κινδύνους ασφαλείας. Επίσης, δεν ενδιαφέρονται ιδιαίτερα για προσθήκες που συνδέονται με απομακρυσμένες υπηρεσίες εκτός Google, καθώς αυτό θέτει τον κίνδυνο Man-In-The-Middle (MITM) επίθεση Τι είναι μια επίθεση Man-in-the-Middle; Επεξήγηση της ασφάλειας JargonΕάν έχετε ακούσει για επιθέσεις "man-in-the-middle" αλλά δεν είστε σίγουροι τι σημαίνει αυτό, αυτό είναι το άρθρο για εσάς. Διαβάστε περισσότερα .
Αυτά είναι απλά βήματα, αλλά είναι ως επί το πλείστον αποτελεσματικά στη διατήρηση της ασφάλειας των χρηστών. Javvad MalikΟ δικηγόρος ασφαλείας στο Alienware, πιστεύει ότι είναι ένα βήμα προς τη σωστή κατεύθυνση, αλλά σημειώνει ότι η μεγαλύτερη πρόκληση στη διατήρηση της ασφάλειας των χρηστών είναι το ζήτημα της εκπαίδευσης.
«Η διάκριση μεταξύ καλού και κακού λογισμικού γίνεται όλο και πιο δύσκολη. Για να παραφράσω, το ένα άτομο που διαθέτει νόμιμο λογισμικό είναι ένα άλλο που διαχειρίζεται τον κακόβουλο ιό που κλέβει ταυτότητα, παραβιάζει την ιδιωτική ζωή και κωδικοποιείται στα έντερα της κόλασης.
"Μην με παρεξηγείτε, χαιρετίζω την κίνηση της Google να καταργήσει αυτές τις κακόβουλες επεκτάσεις - ορισμένες από αυτές δεν θα έπρεπε ποτέ να είχαν δημοσιοποιηθεί. Όμως, η πρόκληση που αντιμετωπίζει για εταιρείες όπως η Google είναι η αστυνόμευση των επεκτάσεων και ο καθορισμός των ορίων της αποδεκτής συμπεριφοράς. Μια συνομιλία που εκτείνεται πέρα από μια ασφάλεια ή τεχνολογία και μια ερώτηση για την κοινωνία που χρησιμοποιεί το Διαδίκτυο γενικά. "
Η Google στοχεύει να διασφαλίσει ότι οι χρήστες ενημερώνονται σχετικά με τους κινδύνους που συνδέονται με την εγκατάσταση προσθηκών προγράμματος περιήγησης. Κάθε επέκταση στο Google Chrome App Store είναι ρητή σχετικά με τις απαιτούμενες άδειες και δεν μπορεί να υπερβαίνει τα δικαιώματα που της δίνετε. Εάν μια επέκταση ζητά να κάνετε πράγματα που φαίνονται ασυνήθιστα, τότε έχετε λόγο υποψίας.
Αλλά περιστασιακά, όπως όλοι γνωρίζουμε, το κακόβουλο λογισμικό ξεφεύγει.
Όταν το Google το κάνει λάθος
Η Google, εκπληκτικά, διατηρεί ένα πολύ στενό πλοίο. Δεν περνούν πολλά από το ρολόι τους, τουλάχιστον όταν πρόκειται για το Google Chrome Web Store. Όταν όμως κάτι κάνει, είναι κακό.
- AddToFeedly ήταν μια προσθήκη Chrome που επέτρεψε στους χρήστες να προσθέσουν έναν ιστότοπο στον ιστότοπό τους Αναγνώστης RSS Feedly Feedly, Κριτική: Τι το κάνει τόσο δημοφιλές Αντικατάσταση Αναγνώστη Google;Τώρα που ο Αναγνώστης Google είναι απλώς μια μακρινή μνήμη, ο αγώνας για το μέλλον του RSS έχει ξεκινήσει πραγματικά. Ένα από τα πιο αξιοσημείωτα προϊόντα που παλεύουν τον καλό αγώνα είναι η Feedly. Ο Αναγνώστης Google δεν ήταν ... Διαβάστε περισσότερα συνδρομές. Ξεκίνησε τη ζωή ως νόμιμο προϊόν κυκλοφόρησε από έναν προγραμματιστή χόμπι, αλλά αγοράστηκε για ένα τετραψήφιο ποσό το 2014. Οι νέοι ιδιοκτήτες έδεσαν στη συνέχεια το πρόσθετο με το SuperFish adware, το οποίο εισήγαγε διαφημίσεις σε σελίδες και δημιουργούσε αναδυόμενα παράθυρα. Το SuperFish κέρδισε τη φήμη νωρίτερα φέτος όταν εμφανίστηκε Η Lenovo το έστειλε με όλους τους φορητούς υπολογιστές Windows χαμηλού επιπέδου Προσοχή στους ιδιοκτήτες φορητών υπολογιστών της Lenovo: Η συσκευή σας ενδέχεται να έχει προεγκαταστήσει κακόβουλο λογισμικόΗ κινεζική κατασκευαστής υπολογιστών Lenovo παραδέχθηκε ότι οι φορητοί υπολογιστές που στάλθηκαν σε καταστήματα και οι καταναλωτές στα τέλη του 2014 είχαν προεγκατεστημένο κακόβουλο λογισμικό. Διαβάστε περισσότερα .
- Στιγμιότυπο οθόνης ιστοσελίδας επιτρέπει στους χρήστες να τραβήξουν μια εικόνα ολόκληρης μιας ιστοσελίδας που επισκέπτονται και έχει εγκατασταθεί σε περισσότερους από 1 εκατομμύριο υπολογιστές. Ωστόσο, μεταδίδει επίσης πληροφορίες χρήστη σε μία μόνο διεύθυνση IP στις Ηνωμένες Πολιτείες. Οι ιδιοκτήτες του Στιγμιότυπου οθόνης της ιστοσελίδας αρνήθηκαν οποιαδήποτε παραβίαση και επιμένουν ότι ήταν μέρος των πρακτικών διασφάλισης ποιότητας. Η Google το έχει καταργήσει από το Chrome Web Store.
- Το Adicionar Ao Google Chrome ήταν μια απάτη επέκταση που παραβιάστηκαν λογαριασμοί Facebook 4 πράγματα που πρέπει να κάνετε αμέσως όταν παραβιάστηκε ο λογαριασμός σας στο FacebookΕάν υποψιάζεστε ότι ο λογαριασμός σας στο Facebook έχει παραβιαστεί, δείτε τι πρέπει να κάνετε για να μάθετε και να ανακτήσετε τον έλεγχο. Διαβάστε περισσότερα και κοινοποίησε μη εξουσιοδοτημένες καταστάσεις, δημοσιεύσεις και φωτογραφίες. Το κακόβουλο λογισμικό διαδόθηκε μέσω ενός ιστότοπου που μιμούσε το YouTube και είπε στους χρήστες να εγκαταστήσουν την προσθήκη για να παρακολουθήσουν βίντεο. Η Google κατάργησε έκτοτε την προσθήκη.
Δεδομένου ότι οι περισσότεροι άνθρωποι χρησιμοποιούν το Chrome για να κάνουν τη συντριπτική πλειονότητα των υπολογιστών τους, είναι ανησυχητικό το γεγονός ότι αυτές οι προσθήκες κατάφεραν να περάσουν από τις ρωγμές. Αλλά τουλάχιστον υπήρχε ένα διαδικασία να αποτύχει. Όταν εγκαθιστάτε επεκτάσεις από αλλού, δεν προστατεύεστε.
Όπως οι χρήστες Android μπορούν να εγκαταστήσουν οποιαδήποτε εφαρμογή επιθυμούν, η Google σάς επιτρέπει εγκαταστήστε οποιαδήποτε επέκταση Chrome θέλετε Πώς να εγκαταστήσετε τις επεκτάσεις Chrome με μη αυτόματο τρόποΗ Google αποφάσισε πρόσφατα να απενεργοποιήσει την εγκατάσταση επεκτάσεων Chrome από ιστότοπους τρίτων, αλλά ορισμένοι χρήστες εξακολουθούν να θέλουν να εγκαταστήσουν αυτές τις επεκτάσεις. Δείτε πώς να το κάνετε. Διαβάστε περισσότερα , συμπεριλαμβανομένων εκείνων που δεν προέρχονται από το Chrome Web Store. Αυτό δεν είναι μόνο για να δώσουμε στους καταναλωτές μια επιπλέον επιλογή, αλλά για να επιτρέψουμε στους προγραμματιστές να δοκιμάσουν τον κώδικα στον οποίο εργάζονται πριν τον στείλουν για έγκριση.
Ωστόσο, είναι σημαντικό να θυμάστε ότι οποιαδήποτε επέκταση που εγκαθίσταται χειροκίνητα δεν έχει περάσει από τις αυστηρές διαδικασίες δοκιμών της Google και μπορεί να περιέχει κάθε είδους ανεπιθύμητη συμπεριφορά.
Πώς διατρέχετε τον κίνδυνο;
Το 2014, η Google ξεπέρασε τον Internet Explorer της Microsoft ως το κυρίαρχο πρόγραμμα περιήγησης ιστού και τώρα αντιπροσωπεύει σχεδόν το 35% των χρηστών του Διαδικτύου. Ως αποτέλεσμα, για όποιον θέλει να κάνει γρήγορα χρήματα ή να διανείμει κακόβουλο λογισμικό, παραμένει ένας δελεαστικός στόχος.
Η Google, κατά το μεγαλύτερο μέρος, μπόρεσε να αντιμετωπίσει. Υπήρξαν συμβάντα, αλλά έχουν απομονωθεί. Όταν το κακόβουλο λογισμικό έχει καταφέρει να το ξεπεράσει, το αντιμετώπισε γρήγορα και με τον επαγγελματισμό που θα περίμενε κανείς από την Google.
Ωστόσο, είναι σαφές ότι οι επεκτάσεις και τα πρόσθετα είναι ένας πιθανός φορέας επίθεσης. Εάν σκοπεύετε να κάνετε κάτι ευαίσθητο, όπως να συνδεθείτε στις διαδικτυακές τραπεζικές συναλλαγές σας, ίσως θέλετε να το κάνετε σε ξεχωριστό πρόγραμμα περιήγησης χωρίς προσθήκες ή σε παράθυρο ανώνυμης περιήγησης. Και αν έχετε κάποια από τις επεκτάσεις που αναφέρονται παραπάνω, πληκτρολογήστε chrome: // επεκτάσεις / στη γραμμή διευθύνσεων του Chrome και, στη συνέχεια, βρείτε και διαγράψτε τα, για να είστε ασφαλείς.
Έχετε εγκαταστήσει κατά λάθος κάποιο κακόβουλο λογισμικό Chrome; Ζείτε για να πείτε την ιστορία; Θέλω να το ακούσω. Αφήστε μου ένα σχόλιο παρακάτω και θα συζητήσουμε.
Συντελεστές εικόνας: Σφυρί σε γυαλί Μέσω του Shutterstock
Ο Matthew Hughes είναι προγραμματιστής λογισμικού και συγγραφέας από το Λίβερπουλ της Αγγλίας. Σπάνια βρέθηκε χωρίς ένα φλιτζάνι ισχυρό μαύρο καφέ στο χέρι του και λατρεύει απολύτως το Macbook Pro και την κάμερα του. Μπορείτε να διαβάσετε το ιστολόγιό του στο http://www.matthewhughes.co.uk και ακολουθήστε τον στο twitter στο @matthewhughes.