Rundt 33% av alle Chrome-brukere har noen form for nettleserplugg installert. I stedet for å være en nisje, kanten-teknologi som brukes utelukkende av strømbrukere, er tilleggene positivt vanlige, med flertallet kommer fra Chrome Nettmarked og Firefox Add-Ons Marketplace.
Men hvor trygge er de?
Ifølge forskning som skal presenteres på IEEE Symposium om sikkerhet og personvern, er svaret ikke så veldig . Google-finansierte studien har funnet at flere millioner av Chrome-brukere har installert en rekke tilleggsbaserte malware, noe som representerer 5% av totalt Google-trafikk.
Forskningen resulterte i at nesten 200 plugins ble skrubbet fra Chrome App Store, og satte spørsmålstegn ved den generelle sikkerheten til markedet.
Så, hva gjør Google for å holde oss trygge, og hvordan kan du se en skurkaktig tillegg? Jeg fant ut.
Der Add-Ons kommer fra
Ring dem hva du vil - nettleserutvidelser, plugins eller tilleggsprogrammer - de kommer alle fra samme sted. Uavhengige tredjepartsutviklere produserer produkter som de føler tjener et behov, eller løser et problem.
Browser-tillegg er vanligvis skrevet ved hjelp av webteknologier, for eksempel HTML, CSS og JavaScript. Hva er JavaScript, og kan Internett eksistere uten det? Hva er JavaScript, og kan Internett eksistere uten det? JavaScript er en av de tingene mange tar for gitt. Alle bruker det. Les mer, og er vanligvis bygget for en bestemt nettleser, selv om det finnes noen tredjepartstjenester som letter etableringen av nettleserplugger på tvers av plattformen.
Når en plugin har nådd et ferdighetsnivå og testet, blir det deretter utgitt. Det er mulig å distribuere et plugin uavhengig, selv om det store flertallet av utviklere velger å distribuere dem gjennom Mozilla, Google og Microsofts utvidelser.
Selv om det, før det noen gang berører en brukers datamaskin, må det testes for å sikre at det er trygt å bruke. Slik fungerer det i Google Chrome App Store.
Holder Chrome Safe
Fra innsending av en forlengelse, til den endelige utgivelsen, er det en 60 minutters vente. hva skjer her? Vel, bak kulissene, sørger Google for at plugin ikke inneholder skadelig logikk, eller noe som kan ødelegge personvernet eller sikkerheten til brukerne.
Denne prosessen er kjent som "Enhanced Item Validation" (IEV), og er en serie av strenge kontroller som undersøker en pluginkode og dens oppførsel når den er installert for å identifisere skadelig programvare.
Google har også utgitt en "style guide" av sorter som forteller utviklere hvilken oppførsel som er tillatt, og fraråder spesielt andre. For eksempel er det forbudt å bruke inline JavaScript - JavaScript som ikke er lagret i en egen fil - for å redusere risikoen mot skriptangrep på flere sider. Hva er cross-site scripting (XSS), og hvorfor det er en sikkerhetsrisiko? -Site Scripting (XSS), og hvorfor det er en sikkerhetsrisiko. Skriptesårbarhet på tvers av nettsiden er det største sikkerhetsproblemet i dag i dag. Studier har funnet at de er sjokkerende vanlige - 55% av nettstedene inneholdt XSS sårbarheter i 2011, ifølge White Hat Securitys siste rapport, utgitt i juni ... Les mer.
Google motvirker også bruk av "eval", som er en programmeringskonstruksjon som tillater kode for å utføre kode, og kan introdusere alle slags sikkerhetsrisiko. De er heller ikke veldig opptatt av programtillegg som kobler til eksterne, ikke-Google-tjenester, da dette medfører risiko for et man-i-midten-angrep (MITM). Hva er et menneske i midten-angrep? Sikkerhetsjargong Forklart Hva er et menneske-i-midt-angrep? Sikkerhetsjargong Forklaret Hvis du har hørt om "man-i-midten" -angrep, men ikke helt sikker på hva det betyr, er dette artikkelen for deg. Les mer .
Disse er enkle trinn, men er for det meste effektive for å holde brukerne trygge. Javvad Malik, sikkerhetsadvokat ved Alienware, mener det er et skritt i riktig retning, men bemerker at den største utfordringen med å holde brukerne trygge er et spørsmål om utdanning.
"Å gjøre forskjellen mellom god og dårlig programvare blir stadig vanskeligere. For å omskrive, er en manns legitim programvare et annet manns identitetsstallende, privatlivskompromitterende ondsinnet virus kodet i helvete.
"Ikke misforstå, jeg aksepterer flyttingen av Google for å fjerne disse skadelige utvidelsene - noen av disse burde aldri blitt offentliggjort til å begynne med. Men utfordringen fremover for selskaper som Google er å politiere utvidelsene og definere grensene for hva som er akseptabelt atferd. En samtale som strekker seg utover en sikkerhet eller teknologi og et spørsmål for Internett-bruk av samfunnet som helhet. "
Google har til hensikt å sikre at brukerne blir informert om risikoen forbundet med installering av nettleserplugger. Hver utvidelse i Google Chrome App Store er eksplisitt om tillatelsene som kreves, og kan ikke overstige tillatelsene du gir den. Hvis en forlengelse ber om å gjøre ting som virker uvanlig, har du grunn til mistanke.
Men noen ganger, som vi alle vet, går malware gjennom.
Når Google får det galt
Google, overraskende, holder ganske tett skip. Ikke mye slips forbi deres klokke, i hvert fall når det kommer til Google Chrome Nettmarked. Når noe gjør det, er det imidlertid dårlig.
- AddToFeedly var et Chrome-plugin som tillot brukere å legge til et nettsted for deres Feedly RSS-leser Feedly, omtalt: Hva gjør det til en slik Google Reader-erstatning? Feedly, Anmeldt: Hva gjør det til en slik Google Reader-erstatning? Nå som Google Reader er bare et fjernt minne, er kampen for fremtiden for RSS virkelig på. En av de mest bemerkelsesverdige produktene som bekjemper den gode kampen er Feedly. Google Reader var ikke en ... Les mer abonnementer. Det startet livet som et legitimt produkt utgitt av en hobbyistutvikler, men ble kjøpt for en firefigtssum i 2014. De nye eierne smurte deretter pluggen med SuperFish-adware, som injiserte reklame på sider og sprang popup-vinduer. SuperFish fikk kjenthet tidligere i år da det skjedde Lenovo hadde sendt det med alle sine nedlastede Windows-bærbare datamaskiner Lenovo Bærbare eiere Vær oppmerksom på: Enheten kan ha forhåndsinstallert skadelig programvare Lenovo-bærbare eiere Vær oppmerksom på: Enheten kan ha forhåndsinstallert skadelig programvare Kinesisk dataprodusent Lenovo har innrømmet at bærbare datamaskiner sendt til butikker og forbrukere i slutten av 2014 hadde skadelig programvare forhåndsinstallert. Les mer .
- WebPage Skjermbilde lar brukerne fange et bilde av hele websiden de besøker, og har blitt installert på over 1 million datamaskiner. Det har imidlertid også vært å overføre brukerinformasjon til en enkelt IP-adresse i USA. Eierne av WebPage-skjermbilde har nektet noe feil, og insisterer på at det var en del av deres kvalitetssikringspraksis. Google har siden fjernet det fra Chrome Nettmarked.
- Adicionar Ao Google Chrome var en falsk utvidelse som kapret Facebook-kontoer 4 Ting å gjøre umiddelbart når Facebook-kontoen din er hacket 4 Ting å gjøre umiddelbart Når Facebook-kontoen din er hacket Å ha Facebook-kontoen din hacket er et mareritt. En fremmed har nå tilgang til all personlig informasjon og kan chikanere dine venner og følgere. Her er hva du kan gjøre for å inkludere skaden. Les mer, og delte uautoriserte statuser, innlegg og bilder. Malware ble spredt gjennom et nettsted som etterliknet YouTube, og fortalte brukere å installere pluginet for å se videoer. Google har siden fjernet pluginet.
Gitt at de fleste bruker Chrome for å gjøre det meste av databehandlingen, er det urolig at disse pluginene klarte å glide gjennom sprekkene. Men i det minste var det en prosedyre å mislykkes. Når du installerer utvidelser fra andre steder, er du ikke beskyttet.
I likhet med at Android-brukere kan installere en hvilken som helst app de ønsker, lar Google deg installere hvilken Chrome-utvidelse du vil. Slik installerer du Chrome Extensions manuelt. Slik installerer du Chrome Extensions manuelt. Google besluttet nylig å deaktivere installasjonen av Chrome-utvidelser fra tredjeparts nettsteder, men noen Brukerne vil fortsatt installere disse utvidelsene. Slik gjør du det. Les mer, inkludert de som ikke kommer fra Chrome Nettmarked. Dette er ikke bare for å gi forbrukerne litt ekstra valg, men heller å tillate utviklere å teste koden de har jobbet med før de sender den ut for godkjenning.
Det er imidlertid viktig å huske at en utvidelse som er installert manuelt ikke har gått gjennom Googles strenge testprosedyrer, og kan inneholde alle slags uønsket oppførsel.
Hvor i fare er du?
I 2014 overtok Google Microsofts Internet Explorer som den dominerende nettleseren, og representerer nå nesten 35% av Internett-brukere. Som et resultat, for alle som ønsker å gjøre en rask buck eller distribuere skadelig programvare, forblir det et fristende mål.
Google, for det meste, har klarte å takle. Det har vært hendelser, men de har blitt isolert. Når malware har klart å gå gjennom, har de gjort det med hensikt, og med profesjonaliteten du forventer fra Google.
Det er imidlertid klart at utvidelser og plugins er en potensiell angrepsvektor. Hvis du planlegger å gjøre noe følsomt, for eksempel å logge deg på nettbanken din, vil du kanskje gjøre det i en egen, pluginfri nettleser eller et inkognito-vindu. Og hvis du har noen av utvidelsene som er oppført ovenfor, skriv inn krom: // utvidelser / i adresselinjen i Chrome, og finn og slett dem, for å være trygg.
Har du noen gang tilfeldigvis installert noe skadelig programvare fra Chrome? Lev for å fortelle historien? Jeg vil høre om det. Legg meg en kommentar nedenfor, og vi vil chatte.
Image Credits: Hammer på knust glass Via Shutterstock