Etwa 33% aller Chromium-Nutzer haben eine Art Browser-Plugin installiert. Statt eine Nische zu sein, eine Edge-Technologie, die ausschließlich von Power-Usern genutzt wird, sind Add-Ons im Allgemeinen Mainstream, wobei der Großteil aus dem Chrome Web Store und dem Firefox Add-Ons Marketplace kommt.
Aber wie sicher sind sie?
Laut Forschung, die auf dem IEEE-Symposium für Sicherheit und Datenschutz vorgestellt werden soll, ist die Antwort nicht sehr . Die von Google finanzierte Studie ergab, dass mehrere Millionen Chrome-Nutzer eine Reihe von Add-On-basierten Malware-Versionen installiert haben, die 5% des gesamten Google-Traffics ausmachen.
Die Untersuchung führte dazu, dass fast 200 Plugins aus dem Chrome App Store geschrubbt wurden und die allgemeine Sicherheit des Marktplatzes in Frage gestellt wurde.
Also, was unternimmt Google, um uns zu schützen, und wie können Sie ein Rogue-Add-On entdecken? Ich fand heraus.
Woher Add-Ons kommen
Nennen Sie sie, was Sie wollen - Browsererweiterungen, Plugins oder Add-Ons - sie alle kommen vom selben Ort. Unabhängige Entwickler von Drittanbietern, die Produkte produzieren, von denen sie glauben, dass sie einem Bedarf entsprechen oder ein Problem lösen.
Browser-Add-Ons werden in der Regel mithilfe von Webtechnologien wie HTML, CSS und JavaScript geschrieben. Was ist JavaScript? Kann das Internet ohne es existieren? Was ist JavaScript und kann das Internet ohne es existieren? JavaScript ist eines dieser Dinge, die für viele selbstverständlich sind. Jeder benutzt es. Lesen Sie mehr, und in der Regel sind für einen bestimmten Browser gebaut, obwohl es einige Dienste von Drittanbietern, die die Erstellung von plattformübergreifenden Browser-Plugins erleichtern.
Sobald ein Plugin ein Level erreicht hat und getestet wurde, wird es veröffentlicht. Es ist möglich, ein Plugin unabhängig zu verteilen, obwohl die überwiegende Mehrheit der Entwickler sich dafür entscheidet, sie über Mozillas, Googles und Microsofts Extensions Stores zu verteilen.
Bevor es jedoch den Computer eines Benutzers berührt, muss es getestet werden, um sicherzustellen, dass es sicher zu verwenden ist. So funktioniert es im Google Chrome App Store.
Chrome sicher aufbewahren
Von der Einreichung einer Erweiterung bis zu ihrer Veröffentlichung gibt es eine Wartezeit von 60 Minuten. was geschieht hier? Nun, hinter den Kulissen stellt Google sicher, dass das Plugin keine bösartige Logik enthält oder irgendetwas, das die Privatsphäre oder Sicherheit der Benutzer gefährden könnte.
Dieser Prozess wird als "Enhanced Item Validation" (IEV) bezeichnet und besteht aus einer Reihe von strengen Prüfungen, die den Code eines Plugins und sein Verhalten bei der Installation untersuchen, um Malware zu identifizieren.
Google hat auch einen "Style Guide" veröffentlicht, der den Entwicklern erklärt, welche Verhaltensweisen erlaubt sind, und ausdrücklich andere davon abhält. Zum Beispiel ist es verboten, Inline-JavaScript zu verwenden - JavaScript, das nicht in einer separaten Datei gespeichert ist -, um das Risiko von Cross-Site-Scripting-Angriffen zu minimieren. Was ist Cross-Site Scripting (XSS) und warum es eine Sicherheitsbedrohung ist? -Site Scripting (XSS), und warum es eine Sicherheitsbedrohung ist Sicherheitslücken beim Cross-Site-Scripting sind heute das größte Sicherheitsproblem für Websites. Studien haben gezeigt, dass sie erschreckend häufig sind - 55% der Websites enthielten im Jahr 2011 XSS-Schwachstellen. Dies geht aus dem jüngsten Bericht von White Hat Security hervor, der im Juni veröffentlicht wurde.
Google rät dringend von der Verwendung von "eval" ab, einem Programmierkonstrukt, mit dem Code Code ausführen und alle möglichen Sicherheitsrisiken einführen kann. Sie sind auch nicht besonders interessiert daran, Plugins mit Remote-Diensten anderer Anbieter zu verbinden, da dies das Risiko eines Man-In-The-Middle-Angriffs (MITM) mit sich bringt. Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Was ist ein Man-in-the-Middle Angriff? Sicherheitsjargon erklärt Wenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, aber nicht ganz sicher sind, was das bedeutet, ist dies der Artikel für Sie. Weiterlesen .
Dies sind einfache Schritte, die jedoch größtenteils dazu beitragen, Benutzer sicher zu halten. Javvad Malik, Security Advocate bei Alienware, sieht dies als einen Schritt in die richtige Richtung an, stellt aber fest, dass die größte Herausforderung darin besteht, die Sicherheit der Benutzer zu gewährleisten.
"Die Unterscheidung zwischen guter und schlechter Software wird immer schwieriger. Um zu paraphrasieren, ist die legitime Software eines Mannes ein Identitätsraubender, datenschützender, böswilliger Virus, der in den Tiefen der Hölle kodiert ist.
"Verstehen Sie mich nicht falsch, ich begrüße den Schritt von Google, diese bösartigen Erweiterungen zu entfernen - einige davon sollten nie veröffentlicht worden sein. Aber die Herausforderung für Unternehmen wie Google besteht darin, die Erweiterungen zu überwachen und die Grenzen für akzeptables Verhalten zu definieren. Ein Gespräch, das über eine Sicherheit oder Technologie hinausgeht und eine Frage für die das Internet nutzende Gesellschaft insgesamt. "
Google möchte sicherstellen, dass Benutzer über die Risiken informiert werden, die mit der Installation von Browser-Plugins verbunden sind. Jede Erweiterung im Google Chrome App Store legt explizit die erforderlichen Berechtigungen fest und darf die von Ihnen erteilten Berechtigungen nicht überschreiten. Wenn eine Erweiterung etwas Ungewöhnliches versucht, haben Sie dann Verdacht.
Aber gelegentlich, wie wir alle wissen, durchdringt Malware.
Wenn Google es falsch geht
Überraschenderweise hält Google ein ziemlich knappes Schiff. Im Google Chrome Web Store ist nicht viel los. Wenn etwas jedoch passiert, ist es schlecht.
- AddToFeedly war ein Chrome-Plugin, mit dem Benutzer eine Website zu ihrem Feedly RSS-Reader Feedly hinzufügen können, überprüft: Was macht es so ein beliebter Google Reader Replacement? Feedly, überprüft: Was macht es zu einem beliebten Google Reader Replacement? Jetzt, wo Google Reader nur noch eine ferne Erinnerung ist, ist der Kampf um die Zukunft von RSS wirklich in vollem Gange. Eines der bemerkenswertesten Produkte, die den guten Kampf bekämpfen, ist Feedly. Google Reader war kein ... Lesen Sie mehr Abonnements. Es begann als legitimes Produkt, veröffentlicht von einem Hobby-Entwickler, wurde aber 2014 für eine vierstellige Summe gekauft. Die neuen Besitzer schnürten das Plugin dann mit der SuperFish Adware, die Werbung in Seiten und Pop-Ups injizierte. Superfish Bekanntheit früher in diesem Jahr, als es sich herausstellte Lenovo hatte es mit all ihren Low-End-Windows-Laptops ausgeliefert Lenovo Laptop-Besitzer Vorsicht: Ihr Gerät kann Malware vorinstalliert haben Lenovo Laptop-Besitzer Vorsicht: Ihr Gerät kann Malware vorinstalliert chinesischen Computer-Hersteller Lenovo hat zugelassen Bei Laptops, die Ende 2014 an Händler und Verbraucher ausgeliefert wurden, war Malware vorinstalliert. Weiterlesen .
- WebPage Screenshot ermöglicht Benutzern, ein Bild von der Gesamtheit einer Webseite, die sie besuchen, zu erfassen, und wurde auf über 1 Million Computern installiert. Es hat jedoch auch Benutzerinformationen an eine einzelne IP-Adresse in den Vereinigten Staaten übertragen. Die Besitzer von WebPage Screenshot haben jegliches Fehlverhalten bestritten und darauf bestanden, dass es Teil ihrer Qualitätssicherungspraktiken war. Google hat es seitdem aus dem Chrome Web Store entfernt.
- Adicionar Ao Google Chrome war eine Rogue-Erweiterung, die Facebook-Konten gekidnappt hat 4 Dinge, die Sie sofort tun müssen, wenn Ihr Facebook-Account gehackt wird 4 Dinge, die Sie sofort tun können, wenn Ihr Facebook-Account gehackt wird Ein Alptraum ist. Ein Fremder hat nun Zugriff auf all deine persönlichen Informationen und könnte deine Freunde und Follower belästigen. Hier ist, was Sie tun können, um den Schaden einzudämmen. Lesen Sie mehr und teilen Sie nicht autorisierte Status, Beiträge und Fotos. Die Malware wurde über eine Website verbreitet, die YouTube nachahmte, und die Nutzer aufgefordert, das Plug-in zu installieren, um Videos ansehen zu können. Google hat das Plugin seitdem entfernt.
Angesichts der Tatsache, dass die meisten Leute Chrome verwenden, um die große Mehrheit ihrer Computer zu tun, ist es beunruhigend, dass diese Plugins durch die Ritzen schlüpfen konnten. Aber zumindest gab es eine Prozedur zum Scheitern. Wenn Sie Erweiterungen von woanders installieren, sind Sie nicht geschützt.
Ähnlich wie Android-Nutzer jede gewünschte App installieren können, lässt Google jede gewünschte Chrome-Erweiterung installieren. So installieren Sie Chrome-Erweiterungen manuell So installieren Sie Google Chrome-Erweiterungen manuell Google hat kürzlich beschlossen, die Installation von Chrome-Erweiterungen von Drittanbieter-Websites zu deaktivieren Benutzer möchten diese Erweiterungen weiterhin installieren. Hier ist, wie es geht. Lesen Sie mehr, einschließlich derer, die nicht aus dem Chrome Web Store stammen. Dies dient nicht nur dazu, den Kunden ein wenig mehr Auswahl zu bieten, sondern es Entwicklern zu ermöglichen, den Code, an dem sie gearbeitet haben, zu testen, bevor sie zur Genehmigung gesendet werden.
Beachten Sie jedoch, dass jede Erweiterung, die manuell installiert wird, die strengen Testverfahren von Google nicht durchlaufen hat und alle möglichen unerwünschten Verhaltensweisen enthalten kann.
Wie gefährdet sind Sie?
Im Jahr 2014 überholte Google den Internet Explorer von Microsoft als dominierenden Webbrowser und repräsentiert nun fast 35% der Internetnutzer. Daher ist es für alle, die schnell Geld verdienen oder Malware verteilen möchten, ein verlockendes Ziel.
Google hat es größtenteils geschafft. Es gab Vorfälle, aber sie wurden isoliert. Wenn es Malware geschafft hat, sich durchzuschlagen, haben sie sich mit der Professionalität, die Sie von Google erwarten, angemessen und schnell auseinandergesetzt.
Es ist jedoch klar, dass Erweiterungen und Plugins ein potentieller Angriffsvektor sind. Wenn Sie etwas Sensitives wie die Anmeldung bei Ihrem Online-Banking planen, können Sie dies in einem separaten, pluginfreien Browser oder einem Inkognito-Fenster tun. Und wenn Sie eine der oben aufgeführten Erweiterungen haben, geben Sie chrome: // extensions / in Ihre Chrome-Adressleiste ein und suchen Sie sie dann, um sie zu löschen.
Haben Sie jemals versehentlich Chrome-Malware installiert? Lebe, um die Geschichte zu erzählen? Ich möchte davon hören. Schreibe mir unten einen Kommentar und wir werden uns unterhalten.
Bildnachweis: Hammer auf zerbrochenem Glas Über Shutterstock