Annons

Cirka 33% av alla Chromium-användare har installerat någon form av webbläsarplugin. Istället för att vara en nisch, kantteknologi som enbart används av kraftanvändare, är tillägg positivt mainstream, med majoriteten kommer från Chrome Web Store och Firefox Add-Ons Marketplace.

Men hur säkra är de?

Enligt forskning kommer att presenteras vid IEEE-symposiet om säkerhet och integritet är svaret inte särskilt. Den Google-finansierade studien fann att tiotals miljoner Chrome-användare har en mängd olika tilläggsbaserade skadliga program installerade, vilket representerar 5% av den totala Google-trafiken.

Forskningen resulterade i att nästan 200 plugins skrubbet från Chrome App Store och väckte frågan om marknadens totala säkerhet.

Så, vad gör Google för att hålla oss säkra, och hur kan du upptäcka ett falskt tillägg? Jag fick reda på.

Var tillägg kommer från

Kalla dem vad du vill - webbläsarutvidgningar, plugins eller tillägg - alla kommer från samma plats. Oberoende, tredjepartsutvecklare som producerar produkter som de känner tjänar ett behov eller löser ett problem.

instagram viewer
extensions-krom

Webbläsartillägg skrivs vanligtvis med webbteknologier, till exempel HTML, CSS, och JavaScript Vad är JavaScript och kan Internet existera utan det?JavaScript är en av de saker som många tar för givet. Alla använder det. Läs mer , och är vanligtvis byggda för en specifik webbläsare, även om det finns vissa tjänster från tredje part som underlättar skapandet av webbläsarplugins med flera plattformar.

När en plugin har nått en fullbordad nivå och testats släpps den sedan. Det är möjligt att distribuera ett plugin självständigt, även om de allra flesta utvecklare väljer att distribuera dem via Mozilla, Google och Microsofts tilläggsbutiker.

Även om den, innan den någonsin berör en användares dator, måste testas för att säkerställa att den är säker att använda. Så här fungerar det i Google Chrome App Store.

Att hålla Chrome säkert

Från inlämningen av en tillägg till dess eventuella publicering finns det en 60-minuters väntetid. Vad händer här? Bakom kulisserna ser Google till att plugin-programmet inte innehåller någon skadlig logik eller något som kan äventyra användarnas integritet eller säkerhet.

Denna process kallas 'Enhanced Item Validation' (IEV) och är en serie rigorösa kontroller som undersöker en plugin-kod och dess beteende när den är installerad för att identifiera skadlig programvara.

Google har också publicerade en "stilguide" av de slag som berättar för utvecklare vilka beteenden som är tillåtna och uttryckligen avskräcker andra. Till exempel är det förbjudet att använda inline JavaScript - JavaScript som inte lagras i en separat fil - för att minska risken mot cross-site scripting attacker Vad är Cross-Site Scripting (XSS) och varför det är en säkerhetshotSäkerhetsproblem på flera webbplatser är det största säkerhetsproblemet på webbplatsen idag. Studier har visat att de är chockerande vanliga - 55% av webbplatserna innehöll XSS-sårbarheter 2011, enligt White Hat Securitys senaste rapport, släppt i juni ... Läs mer .

extensions-kod

Google avskräcker också starkt användningen av 'eval', som är en programmeringskonstruktion som tillåter kod att köra kod, och kan införa alla möjliga säkerhetsrisker. De är inte så oerhört angelägna om plugins som ansluter till fjärrtjänster, icke-Google-tjänster, eftersom det utgör risken för Man-i-mitten (MITM) attack Vad är en man i mittenattack? Säkerhetsjargong förklarasOm du har hört talas om "man-in-the-middle" -attacker men inte är helt säker på vad det betyder, är det här artikeln för dig. Läs mer .

Dessa är enkla steg, men är till stor del effektiva för att hålla användarna säkra. Javvad Malik, Säkerhetsadvokat på Alienware, tycker att det är ett steg i rätt riktning men konstaterar att den största utmaningen för att hålla användarna säkra är en utbildningsfråga.

”Att göra skillnaden mellan bra och dålig programvara blir allt svårare. För att parafrasera, en mans legitima programvara är en annan mans identitetsstjälande, integritetsskadande skadligt virus kodat i helvetets tarm.

"Missförstå mig inte. Jag välkomnar att Google flyttade bort dessa skadliga tillägg - några av dessa borde aldrig ha offentliggjorts till att börja med. Men utmaningen framöver för företag som Google är att polisera förlängningarna och definiera gränserna för vad som är acceptabelt beteende. En konversation som sträcker sig utöver säkerhet eller teknik och en fråga för det internetanvändande samhället i stort. ”

Google strävar efter att säkerställa att användare informeras om riskerna med att installera webbläsarplugins. Varje tillägg i Google Chrome App Store handlar tydligt om de behörigheter som krävs och kan inte överskrida de behörigheter du ger det. Om en förlängning frågar om att göra saker som verkar ovanliga har du anledning att misstänka.

Men ibland glider malware, som vi alla vet, igenom.

När Google blir fel

Google har förvånansvärt en ganska snäv fartyg. Inte mycket glider förbi sin klocka, åtminstone när det gäller Google Chrome Web Store. När något gör det är det dock dåligt.

  • AddToFeedly var ett Chrome-plugin som gjorde det möjligt för användare att lägga till en webbplats till sin Feedly RSS-läsare Feedly, Recenserad: Vad gör det till ett så populärt utbyte av Google-läsare?Nu när Google Reader bara är ett avlägset minne, är kampen för RSS framtid verkligen på. Feedly är en av de mest anmärkningsvärda produkterna som bekämpar den goda kampen. Google Reader var inte en ... Läs mer abonnemang. Det började livet som en legitim produkt släppt av en hobbyutvecklare, men köptes för en fyrsiffrig summa 2014. De nya ägarna snörde sedan plugin med SuperFish adware, som injicerade reklam på sidor och skapade pop-ups. SuperFish fick ökändhet tidigare i år när det skedde Lenovo hade levererat det med alla deras låg-end Windows-bärbara datorer Lenovo bärbara datorer Se upp: Din enhet kan ha förinstallerat skadlig programvaraDen kinesiska datortillverkaren Lenovo har medgett att bärbara datorer som skickades till butiker och konsumenter i slutet av 2014 hade skadlig programvara förinstallerats. Läs mer .
  • Webbplatsens skärmbild gör det möjligt för användare att fånga en bild av hela en webbsida de besöker och har installerats på över 1 miljon datorer. Men det har också överfört användarinformation till en enda IP-adress i USA. Ägarna till WebPage Screenshot har förnekat felaktigheter och insisterar på att det var en del av deras kvalitetssäkringsmetoder. Google har sedan tagit bort det från Chrome Web Store.
  • Adicionar Ao Google Chrome var en falsk förlängning som kapade Facebook-konton 4 saker att göra omedelbart när ditt Facebook-konto hackadesOm du misstänker att ditt Facebook-konto har hackats är det här du ska göra för att ta reda på och återfå kontrollen. Läs mer , och delade obehöriga statuser, inlägg och foton. Malware spriddes via en webbplats som efterliknade YouTube och berättade för användare att installera plugin-programmet för att titta på videor. Google har sedan tagit bort plugin-programmet.

Med tanke på att de flesta använder Chrome för att göra den stora majoriteten av sin datoranvändning, är det oroande att dessa plugins lyckades glida genom sprickorna. Men åtminstone fanns det en procedur att misslyckas. När du installerar tillägg från någon annanstans är du inte skyddad.

Precis som Android-användare kan installera vilken app de vill, låter Google dig installera alla Chrome-tillägg du vill ha Hur man installerar Chrome-tillägg manuelltGoogle beslutade nyligen att inaktivera installationen av Chrome-tillägg från tredjepartswebbplatser, men vissa användare vill fortfarande installera dessa tillägg. Så här gör du. Läs mer , inklusive sådana som inte kommer från Chrome Web Store. Det här är inte bara för att ge konsumenterna lite extra val, utan snarare att låta utvecklare testa koden de har arbetat med innan de skickas ut för godkännande.

extensions-manuella

Det är dock viktigt att komma ihåg att alla tillägg som installeras manuellt inte har gått igenom Googles stränga testprocedurer och kan innehålla alla typer av oönskat beteende.

Hur riskerar du?

Under 2014 överträffade Google Microsofts Internet Explorer som den dominerande webbläsaren och representerar nu nästan 35% av Internetanvändarna. Som ett resultat, för alla som vill tjäna ett snabbt pengar eller distribuera skadlig programvara, förblir det ett lockande mål.

Google har för det mesta kunnat klara sig. Det har varit incidenter, men de har isolerats. När skadlig programvara har lyckats glida igenom har de hanterat det snabbt och med den professionalism du förväntar dig från Google.

Det är dock tydligt att tillägg och plugins är en potentiell attackvektor. Om du planerar att göra något känsligt, till exempel att logga in på din onlinebank, kanske du vill göra det i en separat, plugin-fri webbläsare eller ett inkognitofönster. Och om du har någon av de tillägg som anges ovan skriver du chrome: // extensions / i din Chrome-adressfält, hitta och ta bort dem, bara för att vara säker.

Har du någon gång av misstag installerat en del av Chrome-skadlig programvara? Leva för att berätta historien? Jag vill höra om det. Släpp mig en kommentar nedan så ska vi chatta.

Bildkrediter: Hammare på krossat glas Via Shutterstock

Matthew Hughes är en programutvecklare och författare från Liverpool, England. Han hittas sällan utan en kopp starkt svart kaffe i handen och älskar absolut sin Macbook Pro och sin kamera. Du kan läsa hans blogg på http://www.matthewhughes.co.uk och följ honom på twitter på @matthewhughes.