Advertentie
Ongeveer 33% van alle Chromium-gebruikers heeft een soort browserplug-in geïnstalleerd. In plaats van een niche te zijn, edge-technologie die uitsluitend wordt gebruikt door ervaren gebruikers, zijn add-ons positief mainstream, waarbij de meerderheid afkomstig is van de Chrome Web Store en de Firefox Add-Ons Marketplace.
Maar hoe veilig zijn ze?
Volgens onderzoek moet worden gepresenteerd op het IEEE Symposium over beveiliging en privacy is het antwoord niet erg. Uit het door Google gefinancierde onderzoek bleek dat tientallen miljoenen Chrome-gebruikers een verscheidenheid aan op add-on gebaseerde malware hebben geïnstalleerd, die 5% van het totale Google-verkeer vertegenwoordigt.
Het onderzoek resulteerde in het verwijderen van bijna 200 plug-ins uit de Chrome App Store en bracht de algehele beveiliging van de markt in twijfel.
Dus, wat doet Google om ons te beschermen, en hoe kun je een frauduleuze add-on herkennen? Ik heb ontdekt.
Waar add-ons vandaan komen
Noem ze wat je wilt - browserextensies, plug-ins of add-ons - ze komen allemaal van dezelfde plaats. Onafhankelijke, externe ontwikkelaars die producten produceren waarvan zij denken dat ze in een behoefte voorzien of een probleem oplossen.
Browser-add-ons worden over het algemeen geschreven met behulp van webtechnologieën, zoals HTML, CSS, en JavaScript Wat is JavaScript en kan internet zonder het bestaan?JavaScript is een van die dingen die velen als vanzelfsprekend beschouwen. Iedereen gebruikt het. Lees verder , en zijn meestal gebouwd voor één specifieke browser, hoewel er enkele services van derden zijn die het maken van platformonafhankelijke browser-plug-ins vergemakkelijken.
Zodra een plug-in een voltooiingsniveau heeft bereikt en is getest, wordt deze vervolgens vrijgegeven. Het is mogelijk om een plug-in onafhankelijk te distribueren, hoewel de overgrote meerderheid van de ontwikkelaars ervoor kiest om ze te distribueren via Mozilla, Google en de extensiewinkels van Microsoft.
Hoewel het, voordat het ooit de computer van een gebruiker raakt, moet worden getest om er zeker van te zijn dat het veilig is in gebruik. Zo werkt het in de Google Chrome App Store.
Chrome veilig houden
Van het indienen van een extensie tot de uiteindelijke publicatie, er is een wachttijd van 60 minuten. Wat gebeurt hier? Welnu, achter de schermen zorgt Google ervoor dat de plug-in geen kwaadaardige logica bevat, of iets dat de privacy of veiligheid van de gebruikers in gevaar kan brengen.
Dit proces staat bekend als ‘Enhanced Item Validation’ (IEV) en is een reeks rigoureuze controles die de code van een plug-in en het gedrag ervan na installatie onderzoekt om malware te identificeren.
Google heeft ook een ‘stijlgids’ gepubliceerd van soorten die ontwikkelaars vertellen welk gedrag is toegestaan en anderen uitdrukkelijk ontmoedigt. Het is bijvoorbeeld verboden om inline JavaScript te gebruiken - JavaScript dat niet in een apart bestand is opgeslagen - om het risico tegen cross-site scripting-aanvallen Wat is Cross-Site Scripting (XSS) en waarom het een beveiligingsrisico isCross-site scripting-kwetsbaarheden zijn tegenwoordig het grootste beveiligingsprobleem van websites. Studies hebben aangetoond dat ze schokkend vaak voorkomen: volgens het laatste rapport van White Hat Security, uitgebracht in juni... bevatte 55% van de websites XSS-kwetsbaarheden in 2011. Lees verder .
Google raadt ook het gebruik van ‘eval’ sterk af, een programmeerconstructie waarmee code code kan uitvoeren en allerlei beveiligingsrisico's kan introduceren. Ze zijn ook niet erg enthousiast over plug-ins die verbinding maken met externe, niet-Google-services, omdat dit het risico met zich meebrengt Man-In-The-Middle (MITM) -aanval Wat is een man-in-the-middle-aanval? Beveiligingsjargon uitgelegdAls je hebt gehoord van "man-in-the-middle" -aanvallen maar niet helemaal zeker weet wat dat betekent, dan is dit het artikel voor jou. Lees verder .
Dit zijn eenvoudige stappen, maar zijn voor het grootste deel effectief in het beschermen van gebruikers. Javvad Malik, Security Advocate bij Alienware, denkt dat het een stap in de goede richting is, maar merkt op dat de grootste uitdaging om gebruikers te beschermen een kwestie van onderwijs is.
“Het onderscheid maken tussen goede en slechte software wordt steeds moeilijker. Om te parafraseren: de ene legitieme software van de andere is de andere die de identiteit steelt en het privacy-compromitterende kwaadaardige virus codeert in de ingewanden van de hel.
"Begrijp me niet verkeerd, ik verwelkom de zet van Google om deze kwaadaardige extensies te verwijderen - sommige hiervan hadden in het begin nooit openbaar mogen zijn gemaakt. Maar de uitdaging voor bedrijven als Google is het controleren van de extensies en het definiëren van de grenzen van wat acceptabel gedrag is. Een gesprek dat verder gaat dan een beveiliging of technologie en een vraag voor de internetgebruikende samenleving als geheel. ”
Google streeft ernaar dat gebruikers worden geïnformeerd over de risico's van het installeren van browserplug-ins. Elke extensie in de Google Chrome App Store is expliciet over de vereiste toestemmingen en mag de door u gegeven toestemmingen niet overschrijden. Als een extensie vraagt om dingen te doen die ongebruikelijk lijken, heb je reden tot wantrouwen.
Maar af en toe, zoals we allemaal weten, glijdt malware door.
Wanneer Google het verkeerd begrijpt
Google houdt verrassend genoeg een behoorlijk strak schip. Er glijdt niet veel voorbij hun horloge, tenminste als het gaat om de Google Chrome Web Store. Als iets echter doet, is het slecht.
- AddToFeedly was een Chrome-plug-in waarmee gebruikers een website aan hun website konden toevoegen Feedly RSS-lezer Feedly, Review: wat maakt het zo'n populaire vervanging van Google Reader?Nu Google Reader slechts een verre herinnering is, is de strijd voor de toekomst van RSS echt aan de gang. Een van de meest opvallende producten die de goede strijd bestrijden, is Feedly. Google Reader was geen ... Lees verder abonnementen. Het begon het leven als een legitiem product vrijgegeven door een hobbyistische ontwikkelaar, maar werd in 2014 gekocht voor een bedrag van vier cijfers. De nieuwe eigenaren hebben vervolgens de plug-in geregen met de SuperFish-adware, die advertenties op pagina's heeft geïnjecteerd en pop-ups heeft voortgebracht. SuperFish kreeg eerder dit jaar bekendheid toen het gebeurde Lenovo had het geleverd met al hun goedkope Windows-laptops Eigenaren van Lenovo-laptops Let op: op uw apparaat is mogelijk vooraf malware geïnstalleerdDe Chinese computerfabrikant Lenovo heeft toegegeven dat op laptops die eind 2014 naar winkels en consumenten zijn verzonden, vooraf malware is geïnstalleerd. Lees verder .
- Schermafbeelding van webpagina stelt gebruikers in staat een afbeelding vast te leggen van de volledige webpagina die ze bezoeken, en is geïnstalleerd op meer dan 1 miljoen computers. Het verzendt echter ook gebruikersinformatie naar een enkel IP-adres in de Verenigde Staten. De eigenaren van Screenshot van WebPage hebben elk wangedrag ontkend en staan erop dat dit deel uitmaakte van hun praktijken voor kwaliteitsborging. Google heeft het sindsdien verwijderd uit de Chrome Web Store.
- Adicionar Ao Google Chrome was een frauduleuze extensie die gekaapte Facebook-accounts 4 dingen die u onmiddellijk moet doen wanneer uw Facebook-account is gehacktAls je vermoedt dat je Facebook-account is gehackt, kun je het volgende doen om erachter te komen en de controle terug te krijgen. Lees verder en gedeelde ongeautoriseerde statussen, berichten en foto's. De malware werd verspreid via een site die YouTube nabootste en gebruikers vertelde de plug-in te installeren om video's te bekijken. Google heeft sindsdien de plug-in verwijderd.
Aangezien de meeste mensen Chrome gebruiken voor het overgrote deel van hun computergebruik, is het verontrustend dat deze plug-ins erin zijn geslaagd door de kieren te glippen. Maar er was tenminste een procedure falen. Wanneer u extensies van elders installeert, bent u niet beschermd.
Net zoals Android-gebruikers elke gewenste app kunnen installeren, laat Google je toe installeer elke gewenste Chrome-extensie Hoe Chrome-extensies handmatig te installerenGoogle heeft onlangs besloten om de installatie van Chrome-extensies van websites van derden uit te schakelen, maar sommige gebruikers willen deze extensies nog steeds installeren. Hier is hoe het te doen. Lees verder , inclusief degene die niet afkomstig zijn uit de Chrome Web Store. Dit is niet alleen om consumenten een beetje extra keuze te geven, maar eerder om ontwikkelaars de code te laten laten werken waaraan ze hebben gewerkt voordat ze deze ter goedkeuring opsturen.
Het is echter belangrijk om te onthouden dat elke extensie die handmatig wordt geïnstalleerd, de strenge testprocedures van Google niet heeft doorlopen en allerlei soorten ongewenst gedrag kan bevatten.
Hoe risico loopt u?
In 2014 haalde Google Internet Explorer van Microsoft in als de dominante webbrowser en vertegenwoordigt nu bijna 35% van de internetgebruikers. Als gevolg hiervan blijft het een verleidelijk doelwit voor iedereen die snel geld wil verdienen of malware wil verspreiden.
Google heeft het grotendeels voor elkaar gekregen. Er zijn incidenten geweest, maar ze zijn geïsoleerd. Wanneer malware erin is geslaagd om er doorheen te glippen, zijn ze er snel mee omgegaan en met de professionaliteit die u van Google mag verwachten.
Het is echter duidelijk dat extensies en plug-ins een potentiële aanvalsvector zijn. Als u van plan bent iets gevoeligs te doen, zoals inloggen op uw internetbankieren, wilt u dat misschien doen in een aparte browser zonder plug-ins of een incognitovenster. En als u een van de bovenstaande extensies heeft, typt u chrome: // extensions / in uw Chrome-adresbalk en zoek en verwijder ze voor de zekerheid.
Heb je ooit per ongeluk wat Chrome-malware geïnstalleerd? Leef om het verhaal te vertellen? Ik wil erover horen. Stuur me hieronder een reactie en we zullen chatten.
Afbeeldingscredits: Hamer op gebroken glas Via Shutterstock
Matthew Hughes is een softwareontwikkelaar en schrijver uit Liverpool, Engeland. Hij wordt zelden gevonden zonder een kopje sterke zwarte koffie in zijn hand en is dol op zijn Macbook Pro en zijn camera. Je kunt zijn blog lezen op http://www.matthewhughes.co.uk en volg hem op twitter op @matthewhughes.