De quina manera és segur Chrome Web Store?

De quina manera és segur Chrome Web Store?

Al voltant del 33% de tots els usuaris de Chromium tenen instal·lat algun tipus de connector de navegador. En lloc de ser un nínxol, tecnologia avançada que utilitzen exclusivament els usuaris avançats, els complements són positius, ja que la majoria provenen de Chrome Web Store i del Firefox Add-Ons Marketplace.





Però, fins a quin punt són segurs?



Segons la investigació s’haurà de presentar al simposi IEEE sobre seguretat i privadesa, la resposta és no gaire . L'estudi finançat per Google va trobar que desenes de milions d'usuaris de Chrome tenen instal·lada una varietat de programari maliciós basat en complements, que representa el 5% del trànsit total de Google.





La investigació va provocar que es fessin prop de 200 connectors de Chrome App Store i va posar en dubte la seguretat general del mercat.

Llavors, què fa Google per mantenir-nos segurs i com podeu detectar un complement canalla? Vaig saber.



D’on provenen els complements

Anomeneu-los com vulgueu: extensions del navegador, connectors o complements, tots provenen del mateix lloc. Desenvolupadors independents de tercers que produeixen productes que consideren que satisfan una necessitat o resolen un problema.

Els complements del navegador generalment s’escriuen mitjançant tecnologies web, com ara HTML, CSS i JavaScript, i generalment es construeixen per a un navegador específic, tot i que hi ha alguns serveis de tercers que faciliten la creació de connectors de navegador multiplataforma.



Un cop un connector ha assolit el nivell de finalització i es prova, es llença. És possible distribuir un connector de forma independent, tot i que la gran majoria dels desenvolupadors opten per distribuir-los a través de les botigues d’extensions de Mozilla, Google i Microsoft.

Tot i que, abans que toqui l’ordinador de l’usuari, s’ha de provar per assegurar-se que és segur. A continuació s’explica com funciona a Google Chrome App Store.



Mantenir Chrome segur

Des de l’enviament d’una extensió fins a la seva publicació eventual, hi ha 60 minuts d’espera. Què passa aquí? Bé, entre bastidors, Google s’assegura que el connector no contingui cap lògica maliciosa ni res que pugui comprometre la privadesa o la seguretat dels usuaris.

Aquest procés es coneix com a 'Validació d'elements millorats' (IEV), i és una sèrie de comprovacions rigoroses que examinen el codi d'un connector i el seu comportament quan s'instal·la, per tal d'identificar el malware.

Google també ho ha fet ha publicat una 'guia d'estil' una mena que indica als desenvolupadors quins comportaments es permeten i desanima expressament els altres. Per exemple, està prohibit utilitzar JavaScript en línia (JavaScript que no està emmagatzemat en un fitxer separat) per mitigar el risc contra atacs de seqüències de comandaments entre llocs.

Google també desaconsella l'ús de 'eval', que és una construcció de programació que permet que el codi executi codi i pugui introduir tot tipus de riscos de seguretat. Tampoc estan molt interessats en connectors que es connectin a serveis remots que no són de Google, ja que això comporta el risc d’un atac Man-In-The-Middle (MITM).

Aquests són passos senzills, però en la seva majoria són eficaços per protegir els usuaris. Javvad Malik , Defensor de la seguretat d’Alienware, creu que és un pas en la direcció correcta, però assenyala que el repte més gran per mantenir els usuaris segurs és un tema educatiu.

'Fer la distinció entre el programari bo i el dolent és cada vegada més difícil. Parafrasejant, un programari legítim d’un home és un altre virus maliciós que roba identitats i comprometeix la privadesa codificat a les entranyes de l’infern. “No m’equivoqueu, acull amb satisfacció la decisió de Google d’eliminar aquestes extensions malicioses. mai no s'han fet públics per començar. Però el repte per a empreses com Google és el control de les extensions i definir els límits del comportament acceptable. Una conversa que s’estén més enllà d’una seguretat o tecnologia i una qüestió per a la societat que utilitza Internet en general.

Google pretén garantir que els usuaris estiguin informats sobre els riscos associats a la instal·lació de connectors del navegador. Cada extensió a Google Chrome App Store és explícita sobre els permisos necessaris i no pot excedir els permisos que li doneu. Si una extensió demana fer coses que semblen inusuals, aleshores podeu sospitar.

Però de tant en tant, com tots sabem, el programari maliciós s’escapa.

La barra de tasques inferior de Windows 10 no funciona

Quan Google s’equivoca

Sorprenentment, Google manté una nau força ajustada. No passa gaire rellotge, almenys quan es tracta de Google Chrome Web Store. Quan alguna cosa ho fa, però, és dolent.

  • AddToFeedly era un connector de Chrome que permetia als usuaris afegir un lloc web a les subscripcions del lector RSS Feedly. Va començar la vida com un producte legítim publicat per un desenvolupador aficionat , però es va comprar per un import de quatre xifres el 2014. Els nous propietaris van lligar el complement amb l'adware SuperFish, que injectava publicitat a les pàgines i generava finestres emergents. SuperFish va guanyar notorietat a principis d’aquest any quan va semblar que Lenovo l’havia enviat amb tots els seus portàtils Windows de gamma baixa.
  • Captura de pantalla de la pàgina web permet als usuaris capturar una imatge de la totalitat d’una pàgina web que visiten i s’ha instal·lat a més d’un milió d’ordinadors. Tot i això, també ha estat transmetent informació de l'usuari a una única adreça IP als Estats Units. Els propietaris de WebPage Screenshot han negat qualsevol acció il·lícita i insisteixen que formava part de les seves pràctiques d’assegurament de la qualitat. Google l’ha eliminat de Chrome Web Store.
  • Afegir a Google Chrome era una extensió canalla que segrestat de comptes de Facebook , i ha compartit estats, publicacions i fotos no autoritzats. El programari maliciós es va difondre a través d’un lloc que imitava YouTube i va dir als usuaris que instal·lessin el connector per poder veure vídeos. Des de llavors, Google ha eliminat el connector.

Tenint en compte que la majoria de la gent utilitza Chrome per fer la gran majoria de la seva informàtica, és preocupant que aquests connectors aconseguissin lliscar-se per les esquerdes. Però almenys hi havia un procediment fallar. Quan instal·leu extensions des d'altres llocs, no esteu protegit.

Igual que els usuaris d'Android poden instal·lar qualsevol aplicació que desitgin, Google us permet instal·lar qualsevol extensió de Chrome que vulgueu, incloses les que no provenen de Chrome Web Store. Això no només és donar als consumidors una mica d’elecció addicional, sinó permetre als desenvolupadors provar el codi en què han estat treballant abans d’enviar-lo a aprovació.

Tot i això, és important recordar que qualsevol extensió que s’instal·li manualment no ha passat pels rigorosos procediments de proves de Google i pot contenir tot tipus de comportaments indesitjables.

Quin risc estàs?

El 2014, Google va superar l'Internet Explorer de Microsoft com a navegador web dominant i ara representa gairebé el 35% dels usuaris d'Internet. Com a resultat, per a qualsevol persona que vulgui guanyar ràpidament la distribució o distribuir programari maliciós, continua sent un objectiu temptador.

Google, en la seva major part, ha sabut fer front. Hi ha hagut incidents, però han estat aïllats. Quan el programari maliciós ha aconseguit escapar-se, ho ha tractat amb rapidesa i amb la professionalitat que podríeu esperar de Google.

Tot i això, és evident que les extensions i els connectors són un potencial vector d’atac. Si teniu previst fer qualsevol cosa sensible, com ara iniciar sessió a la vostra banca en línia, és possible que vulgueu fer-ho en un navegador independent de connectors o en una finestra d'incògnit. I si teniu alguna de les extensions enumerades anteriorment, escriviu chrome: // extensions / a la barra d'adreces de Chrome i, a continuació, cerqueu-les i suprimiu-les, només per estar segures.

Alguna vegada heu instal·lat algun programa maliciós de Chrome per error? Vius per explicar el conte? Vull saber-ne. Feu-me un comentari a continuació i xerrarem.

Crèdits de la imatge: Martell sobre vidre trencat Via Shutterstock

Compartir Compartir Tweet Correu electrònic Dark Web vs. Deep Web: Quina diferència hi ha?

La xarxa fosca i la xarxa profunda sovint es confonen amb la mateixa cosa. Però aquest no és el cas, doncs, quina diferència hi ha?

Llegiu a continuació Temes relacionats
  • Navegadors
  • Seguretat
  • Google Chrome
  • Seguretat en línia
Sobre l'autor Matthew Hughes(386 articles publicats)

Matthew Hughes és un desenvolupador de programari i escriptor de Liverpool, Anglaterra. Poques vegades es troba sense una tassa de cafè negre fort a la mà i adora absolutament el seu Macbook Pro i la seva càmera. Podeu llegir el seu bloc a http://www.matthewhughes.co.uk i seguir-lo a twitter a @matthewhughes.

Més de Matthew Hughes

Subscriu-te al nostre butlletí

Uniu-vos al nostre butlletí per obtenir consells tècnics, ressenyes, llibres electrònics gratuïts i ofertes exclusives.

Feu clic aquí per subscriure-us