Hoe veilig is de Chrome Web Store eigenlijk?

Uit een door Google gefinancierd onderzoek is gebleken dat tientallen miljoenen Chrome-gebruikers add-ons hebben waarin malware is geïnstalleerd die 5% van het totale Google-verkeer vertegenwoordigt. Ben jij een van deze mensen, en wat zou je moeten doen?

Uit een door Google gefinancierd onderzoek is gebleken dat tientallen miljoenen Chrome-gebruikers add-ons hebben waarin malware is geïnstalleerd die 5% van het totale Google-verkeer vertegenwoordigt.  Ben jij een van deze mensen, en wat zou je moeten doen?
Advertentie

Ongeveer 33% van alle Chromium-gebruikers hebben een soort browser-plug-in geïnstalleerd. In plaats van een niche, edge-technologie die uitsluitend door machtige gebruikers wordt gebruikt, zijn add-ons positief mainstream, met de meerderheid afkomstig van de Chrome Web Store en de Add-on-marktplaats van Firefox.

Maar hoe veilig zijn ze?

Volgens onderzoek dat zal worden gepresenteerd op het IEEE Symposium over veiligheid en privacy, is het antwoord niet erg . De door Google gefinancierde studie wees uit dat tientallen miljoenen Chrome-gebruikers een aantal op add-on gebaseerde malware hebben geïnstalleerd, wat 5% van het totale Google-verkeer vertegenwoordigt.

Het onderzoek resulteerde in bijna 200 plug-ins die werden geschrapt uit de Chrome App Store en de algemene beveiliging van de markt in twijfel trok.

Wat doet Google om ons veilig te houden en hoe kun je een rogue-add-on herkennen? Ik ben er achter gekomen.

Waar add-ons vandaan komen

Noem ze wat je wilt - browserextensies, plug-ins of add-ons - ze komen allemaal van dezelfde plaats. Onafhankelijke, onafhankelijke ontwikkelaars produceren producten waarvan zij denken dat ze een behoefte hebben, of lossen een probleem op.

uitbreidingen chroom

Browser-add-ons worden over het algemeen geschreven met behulp van webtechnologieën, zoals HTML, CSS en JavaScript. Wat is JavaScript, en kan internet bestaan ​​zonder het? Wat is JavaScript, en kan internet bestaan ​​zonder het? JavaScript is een van die dingen die velen als vanzelfsprekend beschouwen. Iedereen gebruikt het. Meer lezen en zijn meestal gebouwd voor één specifieke browser, hoewel er sommige services van derden zijn die het maken van cross-platform browser-plug-ins vergemakkelijken.

Zodra een plug-in een voltooiingsniveau heeft bereikt en is getest, wordt deze vervolgens vrijgegeven. Het is mogelijk om een ​​plug-in onafhankelijk te distribueren, hoewel de grote meerderheid van de ontwikkelaars ervoor kiest om ze in plaats daarvan te distribueren via de extensieshops van Mozilla, Google en Microsoft.

Hoewel voordat de computer van een gebruiker ooit de computer raakt, deze moet worden getest om zeker te zijn dat deze veilig is om te gebruiken. Hier is hoe het werkt in de Google Chrome App Store.

Chrome veilig houden

Van het indienen van een verlenging tot de uiteindelijke publicatie, wacht 60 minuten. Wat gebeurt hier? Achter de schermen zorgt Google ervoor dat de plug-in geen enkele kwaadaardige logica bevat, of iets dat de privacy of veiligheid van de gebruikers in gevaar kan brengen.

Dit proces staat bekend onder de naam 'Enhanced Item Validation' (IEV) en is een reeks strenge controles die de code van een plug-in en het gedrag ervan na installatie controleren om malware te identificeren.

Google heeft ook een soort 'stijlgids' gepubliceerd die ontwikkelaars vertelt welk gedrag toegestaan ​​is en die anderen uitdrukkelijk ontmoedigt. Het is bijvoorbeeld verboden om inline JavaScript te gebruiken - JavaScript dat niet in een apart bestand is opgeslagen - om het risico tegen cross-site scripting-aanvallen te beperken. Wat is Cross-Site Scripting (XSS), en waarom is het een beveiligingsbedreiging Wat is Cross -Site Scripting (XSS), en waarom dit een beveiligingsbedreiging is Cross-site scriptingkwetsbaarheden zijn tegenwoordig het grootste beveiligingsprobleem van de website. Uit onderzoek is gebleken dat ze schokkend veel voorkomen: 55% van de websites bevatte XSS-kwetsbaarheden in 2011, volgens White Hat Security's laatste rapport, uitgebracht in juni ... Lees meer.

extensions-code

Google ontmoedigt ook ten zeerste het gebruik van 'eval', een programmeerconstruct waarmee code code kan uitvoeren en allerlei beveiligingsrisico's kan introduceren. Ze zijn ook niet erg enthousiast over plug-ins die verbinding maken met externe, niet-Google-services, omdat dit het risico van een Man-in-The-Middle (MITM) -aanval oplevert. Wat is een Man-in-the-Middle-aanval? Beveiliging Jargon verklaarde wat een man-in-het-middenaanval is? Beveiliging Jargon uitgelegd Als je hebt gehoord van "man-in-the-middle" -aanvallen, maar niet helemaal zeker bent wat dat betekent, is dit het artikel voor jou. Lees verder .

Dit zijn eenvoudige stappen, maar zijn voor het grootste deel effectief om gebruikers veilig te houden. Javvad Malik, Security Advocate bij Alienware, vindt het een stap in de goede richting, maar merkt op dat de grootste uitdaging om gebruikers veilig te houden, een kwestie van onderwijs is.

"Het onderscheid maken tussen goede en slechte software wordt steeds moeilijker. Om te parafraseren is iemands legitieme software een ander mans identiteit-stelen, privacy-compromitterend kwaadaardig virus gecodeerd in de ingewanden van de hel.

"Begrijp me niet verkeerd, ik ben blij met de verhuizing door Google om deze kwaadwillige extensies te verwijderen - sommige hiervan hadden nooit openbaar moeten worden gemaakt om mee te beginnen. Maar de komende uitdaging voor bedrijven zoals Google is het controleren van de uitbreidingen en het definiëren van de grenzen van wat acceptabel gedrag is. Een gesprek dat verder gaat dan een beveiliging of technologie en een vraag voor de internet-gebruikende samenleving als geheel. "

Google streeft ernaar dat gebruikers worden geïnformeerd over de risico's die gepaard gaan met het installeren van browser-plug-ins. Elke extensie in de Google Chrome App Store is expliciet over de vereiste machtigingen en kan de machtigingen die u eraan geeft niet overschrijden. Als een extensie vraagt ​​om dingen te doen die ongebruikelijk lijken, dan heb je reden voor verdenking.

Maar af en toe, zoals we allemaal weten, glijdt malware door.

Wanneer Google het mis krijgt

Google houdt verrassend genoeg een strak schip. Er glijdt niet veel over hun horloge, althans als het gaat om de Google Chrome Web Store. Wanneer iets echter goed is, is het slecht.

  • AddToFeedly was een Chrome-plug-in waarmee gebruikers een website aan hun Feedly RSS-lezer konden toevoegen Feedly, reageerde: wat maakt het zo'n populaire Google Reader-vervanging? Feedly, herzien: wat maakt het zo'n populaire Google Reader-vervanging? Nu Google Reader slechts een verre herinnering is, is het gevecht voor de toekomst van RSS echt aan de gang. Een van de meest opvallende producten die het goede gevecht voert, is Feedly. Google Reader was geen ... abonnementen Meer lezen. Het begon als een legitiem product uitgebracht door een hobbyistische ontwikkelaar, maar werd gekocht voor een bedrag van vier cijfers in 2014. De nieuwe eigenaren voegden vervolgens de plug-in in met de SuperFish adware, die advertenties in pagina's en uitgesponnen pop-ups injecteerde. SuperFish kreeg eerder dit jaar bekendheid toen het uitkwam dat Lenovo het had geleverd met al zijn low-end Windows-laptops Lenovo Laptop Owners Let op: uw apparaat is vooraf geïnstalleerd Malware Lenovo Laptop-eigenaren Let op: uw apparaat is vooraf geïnstalleerd Malware Chinese computerfabrikant Lenovo heeft toegegeven dat laptops die eind 2014 naar winkels en consumenten waren verzonden, vooraf waren geïnstalleerd met malware. Lees verder .
  • Met WebPage Screenshot kunnen gebruikers een afbeelding vastleggen van het geheel van een webpagina die ze bezoeken, en is geïnstalleerd op meer dan 1 miljoen computers. Het heeft echter ook gebruikersinformatie verzonden naar een enkel IP-adres in de Verenigde Staten. De eigenaren van WebPage Screenshot hebben elke fout onthouden en staan ​​erop dat dit onderdeel was van hun kwaliteitsborgingspraktijken. Google heeft het sindsdien verwijderd uit de Chrome Web Store.
  • Adicionar Ao Google Chrome was een frauduleuze extensie die Facebook-accounts kaapte 4 Dingen om onmiddellijk te doen wanneer je Facebook-account wordt gehackt 4 Dingen die je meteen moet doen als je Facebook-account wordt gehackt Het is een nachtmerrie om je Facebook-account te laten hacken. Een vreemdeling heeft nu toegang tot al je persoonlijke informatie en kan je vrienden en volgers lastigvallen. Hier is wat u kunt doen om de schade te beperken. Meer lezen en ongeautoriseerde statussen, berichten en foto's delen. De malware werd verspreid via een site die YouTube nagebootst, en vertelde gebruikers om de plug-in te installeren om video's te bekijken. Google heeft sindsdien de plug-in verwijderd.

Aangezien de meeste mensen Chrome gebruiken voor de overgrote meerderheid van hun computergebruik, is het verontrustend dat deze plug-ins erin slaagden om door de kloven te glippen. Maar er was tenminste een procedure om te falen. Wanneer u extensies van elders installeert, bent u niet beschermd.

Net als Android-gebruikers elke gewenste app kunnen installeren, laat Google je elke Chrome-extensie installeren Hoe Chrome-extensies handmatig te installeren Hoe Chrome-extensies handmatig te installeren Google heeft onlangs besloten om de installatie van Chrome-extensies van websites van derden uit te schakelen, maar sommige gebruikers willen deze extensies nog steeds installeren. Hier is hoe het te doen. Meer lezen, ook degenen die niet afkomstig zijn van de Chrome Web Store. Dit is niet alleen om consumenten een beetje extra keuze te bieden, maar om ontwikkelaars in staat te stellen de code waaraan ze hebben gewerkt te testen voordat ze deze ter goedkeuring verzenden.

extensions-manual

Het is echter belangrijk om te onthouden dat elke extensie die handmatig is geïnstalleerd niet volgens de strenge testprocedures van Google is gegaan en allerlei ongewenst gedrag kan bevatten.

Hoe gevaarlijk ben je?

In 2014 haalde Google Microsoft Internet Explorer voorbij als de dominante webbrowser en vertegenwoordigt nu bijna 35% van de internetgebruikers. Als gevolg hiervan blijft het een verleidelijk doelwit voor iedereen die snel geld wil verdienen of malware wil verspreiden.

Google heeft het grotendeels kunnen verwerken. Er zijn incidenten geweest, maar ze zijn geïsoleerd. Wanneer malware erin geslaagd is om er doorheen te glippen, hebben ze dit op een gepaste manier afgehandeld en met de professionaliteit die u van Google zou verwachten.

Het is echter duidelijk dat extensies en plug-ins een potentiële aanvalsvector zijn. Als u van plan bent iets gevoelig te doen, zoals inloggen op uw online bankieren, wilt u dat misschien doen in een aparte, plug-in-vrije browser of een incognitovenster. En als u een van de bovenstaande extensies gebruikt, typt u chrome: // extensions / in uw Chrome-adresbalk en zoekt en verwijdert u ze vervolgens, om het veilig te doen.

Heb je ooit per ongeluk Chrome-malware geïnstalleerd? Leef om het verhaal te vertellen? Ik wil erover horen. Stuur me een reactie hieronder en we zullen chatten.

Image Credits: hamer op verbrijzeld glas via Shutterstock

In this article