Hur säker är Chrome Web Store i alla fall?

Hur säker är Chrome Web Store i alla fall?

Omkring 33% av alla Chromium -användare har någon form av webbläsarplugin installerat. Istället för att vara en nisch, kantteknik som uteslutande används av kraftanvändare, är tillägg positivt mainstream, med majoriteten från Chrome Web Store och Firefox Add-Ons Marketplace.





Men hur säkra är de?



Enligt forskning som ska presenteras på IEEE Symposium on Security and Privacy är svaret inte särskilt . Den Google-finansierade studien visade att tiotals miljoner Chrome-användare har en mängd olika tilläggsbaserade skadliga program installerade, vilket motsvarar 5% av den totala Google-trafiken.





Undersökningen resulterade i att nästan 200 plugins skrubbades från Chrome App Store och ifrågasatte marknadsplatsens övergripande säkerhet.

Så vad gör Google för att skydda oss, och hur kan du upptäcka ett oseriöst tillägg? Jag fick reda på.



Var kommer tillägg från

Kalla dem vad du vill - webbläsartillägg, plugins eller tillägg - de kommer alla från samma plats. Oberoende, tredjepartsutvecklare som producerar produkter som de tycker tjänar ett behov eller löser ett problem.

Webbläsartillägg skrivs i allmänhet med webbteknik, som HTML, CSS och JavaScript, och är vanligtvis byggda för en specifik webbläsare, även om det finns några tredjepartstjänster som underlättar skapandet av plattformsplattformar för flera plattformar.



När ett plugin har nått en färdigställande nivå och testats, släpps det sedan. Det är möjligt att distribuera ett plugin självständigt, även om de allra flesta utvecklare istället väljer att distribuera dem via Mozilla, Google och Microsofts tilläggsbutiker.

Även om den innan den rör vid en användares dator måste den testas för att säkerställa att den är säker att använda. Så här fungerar det i Google Chrome App Store.



Håller Chrome säkert

Från inlämnandet av en förlängning, till dess eventuella publicering, det är en 60 minuters väntan. Vad händer här? Tja, bakom kulisserna ser Google till att pluginet inte innehåller någon skadlig logik eller något som kan äventyra användarnas integritet eller säkerhet.

Denna process är känd som 'Enhanced Item Validation' (IEV), och är en serie noggranna kontroller som undersöker ett plugins kod och dess beteende när det installeras, för att identifiera skadlig kod.

Google har också publicerade en 'stilguide' som berättar för utvecklare vilka beteenden som är tillåtna och som uttryckligen avskräcker andra. Till exempel är det förbjudet att använda inline JavaScript - JavaScript som inte är lagrat i en separat fil - för att minska risken mot överskridande skriptattacker.

Google avråder också starkt från att använda 'eval', som är en programmeringskonstruktion som gör att kod kan exekvera kod och kan införa alla möjliga säkerhetsrisker. De är inte heller särskilt angelägna om plugins som ansluter till fjärrtjänster som inte är från Google, eftersom detta utgör risken för en MITM-attack (Man-In-The-Middle).

Det här är enkla steg, men är för det mesta effektiva för att skydda användarna. Javvad Malik , Security Advocate på Alienware, tycker att det är ett steg i rätt riktning men konstaterar att den största utmaningen för att hålla användarna säkra är en fråga om utbildning.

'Att skilja mellan bra och dålig programvara blir allt svårare. För att omskriva, en mans legitima programvara är en annan mans identitetsstjälande, sekretesskompromitterande skadliga virus kodat i helvetets tarmar. Missförstå mig inte, jag välkomnar Googles beslut att ta bort dessa skadliga tillägg-några av dessa borde aldrig blivit offentliga till att börja med. Men utmaningen framöver för företag som Google är att polisera tillägg och definiera gränserna för vad som är acceptabelt beteende. En konversation som sträcker sig bortom en säkerhet eller teknik och en fråga för det internetanvändande samhället i stort. '

Google strävar efter att säkerställa att användarna informeras om riskerna med att installera webbläsarplugins. Varje tillägg i Google Chrome App Store är tydligt om de behörigheter som krävs och kan inte överskrida de behörigheter du ger det. Om en förlängning ber om att göra saker som verkar ovanliga, har du anledning att misstänka.

Men ibland, som vi alla vet, glider skadlig programvara igenom.

hur man ser live -tv på datorn

När Google gör det fel

Google håller förvånansvärt nog ett tätt fartyg. Inte mycket glider förbi sin klocka, åtminstone när det gäller Google Chrome Web Store. När något gör det är det dock dåligt.

  • AddToFeedly var ett Chrome -plugin som tillät användare att lägga till en webbplats i sina Feedly RSS -läsarabonnemang. Det började livet som en legitim produkt släppt av en hobbyutvecklare , men köptes för en fyrsiffrig summa 2014. De nya ägarna snodde sedan pluginet med SuperFish-adware, som injicerade reklam på sidor och skapade popup-fönster. SuperFish blev ökänd tidigare i år när det visade sig att Lenovo hade skickat det med alla sina avancerade Windows-bärbara datorer.
  • Skärmdump på webbsidan tillåter användare att ta en bild av hela en webbsida de besöker och har installerats på över 1 miljon datorer. Det har emellertid också överfört användarinformation till en enda IP -adress i USA. Ägarna till WebPage Screenshot har förnekat något brott och insisterar på att det var en del av deras kvalitetssäkringsmetoder. Google har sedan tagit bort det från Chrome Web Store.
  • Lägg till i Google Chrome var en oseriös tillägg som kapade Facebook -konton och delade obehöriga statuser, inlägg och foton. Skadlig programvara spreds genom en webbplats som efterliknade YouTube och uppmanade användarna att installera tillägget för att kunna titta på videor. Google har sedan tagit bort plugin.

Med tanke på att de flesta använder Chrome för att göra de allra flesta av sina datorer är det oroande att dessa plugins lyckades glida igenom sprickorna. Men det fanns åtminstone en procedur att misslyckas. När du installerar tillägg från andra håll är du inte skyddad.

Ungefär som Android -användare kan installera vilken app de vill, låter Google dig installera vilket Chrome -tillägg du vill, inklusive sådana som inte kommer från Chrome Web Store. Detta är inte bara för att ge konsumenterna lite extra val, utan snarare för att låta utvecklare testa koden de har arbetat med innan de skickar ut den för godkännande.

Det är dock viktigt att komma ihåg att alla tillägg som installeras manuellt inte har gått igenom Googles strikta testprocedurer och kan innehålla alla möjliga oönskade beteenden.

Hur utsatt är du?

År 2014 gick Google förbi Microsofts Internet Explorer som den dominerande webbläsaren och representerar nu nästan 35% av Internetanvändarna. Som ett resultat förblir det för alla som vill tjäna pengar eller distribuera skadlig kod ett frestande mål.

Google har för det mesta kunnat klara sig. Det har inträffat incidenter, men de har isolerats. När skadlig programvara har lyckats glida igenom har de hanterat det på ett ändamålsenligt sätt och med den professionalism du kan förvänta dig av Google.

Det är dock klart att tillägg och plugins är en potentiell attackvektor. Om du planerar att göra något känsligt, till exempel att logga in på din nätbank, kanske du vill göra det i en separat, plugin-fri webbläsare eller ett inkognitofönster. Och om du har någon av de tillägg som anges ovan skriver du chrome: // extensions/ i ditt Chrome -adressfält, hitta och ta bort dem, bara för att vara säker.

Har du någonsin av misstag installerat någon Chrome -skadlig kod? Lev för att berätta historien? Jag vill höra om det. Lämna en kommentar nedan så pratar vi.

Bildkrediter: Hammare på krossat glas Via Shutterstock

Dela med sig Dela med sig Tweet E-post Dark Web vs. Deep Web: Vad är skillnaden?

Den mörka webben och den djupa banan misstas ofta för att vara en och samma. Men så är inte fallet, så vad är skillnaden?

Läs Nästa Relaterade ämnen
  • Webbläsare
  • säkerhet
  • Google Chrome
  • Online säkerhet
Om författaren Matthew Hughes(386 artiklar publicerade)

Matthew Hughes är en mjukvaruutvecklare och författare från Liverpool, England. Han hittas sällan utan en kopp starkt svart kaffe i handen och älskar absolut sin Macbook Pro och sin kamera. Du kan läsa hans blogg på http://www.matthewhughes.co.uk och följa honom på twitter på @matthewhughes.

Mer från Matthew Hughes

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e -böcker och exklusiva erbjudanden!

Klicka här för att prenumerera