İlan

Tüm Chromium kullanıcılarının yaklaşık% 33'ünde bir tür tarayıcı eklentisi yüklü. Yalnızca güçlü kullanıcılar tarafından kullanılan bir niş, kenar teknolojisi olmaktan ziyade, eklentiler çoğunlukla ana akımdır ve çoğunluğu Chrome Web Mağazası ve Firefox Eklentileri Pazarından geliyor.

Ama ne kadar güvenli?

Araştırmaya göre sunulacağı için IEEE Güvenlik ve Gizlilik Sempozyumu'nda yanıt şudur: çok değil. Google tarafından finanse edilen çalışma, on milyonlarca Chrome kullanıcısının yüklü çeşitli eklenti tabanlı kötü amaçlı yazılımlara sahip olduğunu ve toplam Google trafiğinin% 5'ini oluşturduğunu buldu.

Araştırma, yaklaşık 200 eklentinin Chrome App Store'dan silinmesiyle sonuçlandı ve pazar yerinin genel güvenliğini sorguladı.

Peki, Google bizi güvende tutmak için ne yapıyor ve haydut bir eklentiyi nasıl tespit edebilirsiniz? Ben öğrendim.

Eklentiler Nereden Gelir

Ne istediğinizi söyleyin - tarayıcı uzantıları, eklentiler veya eklentiler - hepsi aynı yerden geliyor. Bağımsız, üçüncü taraf geliştiriciler ihtiyaç duyduklarını düşündükleri veya bir sorunu çözdüklerini düşündükleri ürünler üretirler.

instagram viewer

uzantılar-krom

Tarayıcı eklentileri genellikle HTML, CSS, ve JavaScript JavaScript Nedir ve İnternet Onsuz Var Olabilir mi?JavaScript, pek çok kişinin kabul ettiği şeylerden biridir. Herkes kullanıyor. Daha fazla oku ve platformlar arası tarayıcı eklentilerinin oluşturulmasını kolaylaştıran bazı üçüncü taraf hizmetleri olmasına rağmen, genellikle belirli bir tarayıcı için oluşturulmuştur.

Bir eklenti tamamlanma seviyesine ulaşıp test edildikten sonra serbest bırakılır. Bir eklentiyi bağımsız olarak dağıtmak mümkündür, ancak geliştiricilerin büyük çoğunluğu bunları Mozilla, Google ve Microsoft’un uzantı mağazalarından dağıtmayı tercih eder.

Bir kullanıcının bilgisayarına dokunmadan önce, kullanımının güvenli olduğundan emin olmak için test edilmesi gerekir. Google Chrome App Store'da şu şekilde çalışır.

Chrome'u Güvende Tutun

Bir uzantının sunulmasından nihai yayınlanmasına kadar 60 dakikalık bir bekleme süresi vardır. Burada ne oluyor? Perde arkasında, Google eklentinin kötü niyetli bir mantık veya kullanıcıların gizliliğini veya güvenliğini tehlikeye atabilecek herhangi bir şey içermediğinden emin oluyor.

Bu işlem 'Gelişmiş Öğe Doğrulama' (IEV) olarak bilinir ve kötü amaçlı yazılımı tanımlamak için bir eklentinin kodunu ve yüklendiğinde davranışını inceleyen bir dizi sıkı kontroldür.

Google ayrıca bir ‘stil kılavuzu’ yayınladı geliştiricilere hangi davranışlara izin verildiğini söyleyen ve açıkça başkalarını caydıran türler. Örneğin, riskleri azaltmak için satır içi JavaScript - ayrı bir dosyada saklanmayan JavaScript - kullanılması yasaktır. siteler arası komut dosyası saldırıları Siteler Arası Komut Dosyası (XSS) Nedir ve Neden Güvenlik TehdidiSiteler arası komut dosyası oluşturma güvenlik açıkları bugün en büyük web sitesi güvenlik sorunudur. Araştırmalar, şok edici derecede yaygın olduklarını keşfetti - Haziran ayında yayınlanan White Hat Security'nin son raporuna göre, web sitelerinin% 55'i XSS güvenlik açıklarını içeriyordu ... Daha fazla oku .

uzantılar kodu

Google ayrıca, kodun kod yürütmesine olanak tanıyan ve her türlü güvenlik riskini ortaya çıkarabilen bir programlama yapısı olan 'eval' kullanımını da caydırır. Ayrıca, Google dışındaki uzak hizmetlere bağlanan eklentilere çok meraklı değiller, çünkü bu bir Ortadaki Adam (MITM) saldırısı Ortadaki Adam Saldırısı Nedir? Güvenlik Jargonu Açıklandı"Ortadaki adam" saldırılarını duyduysanız ancak bunun ne anlama geldiğinden emin değilseniz, bu sizin için bir makaledir. Daha fazla oku .

Bunlar basit adımlar, ancak çoğunlukla kullanıcıların güvenliğini sağlamada etkilidir. Javvad MalikAlienware'deki Güvenlik Avukatı, bunun doğru yönde atılmış bir adım olduğunu düşünüyor ancak kullanıcıları güvende tutmanın en büyük zorluğunun bir eğitim sorunu olduğunu belirtiyor.

“İyi ve kötü yazılımlar arasında ayrım yapmak gittikçe zorlaşıyor. Başka bir deyişle, meşru yazılımın bir başkası, cehennemin bağırsaklarında kodlanmış kimlik hırsızlığı, gizlilik tehlikesi yaratan kötü amaçlı virüsün bir diğeri.

“Beni yanlış anlamayın, Google'ın bu kötü amaçlı uzantıları kaldırma hareketini memnuniyetle karşılıyoruz - bunlardan bazıları hiçbir zaman başlangıçta herkese açık hale getirilmemeliydi. Ancak Google gibi şirketler için öne çıkan zorluk, uzantıları desteklemek ve kabul edilebilir davranışların sınırlarını tanımlamaktır. Güvenlik veya teknolojinin ötesine geçen bir konuşma ve genel olarak internet kullanan toplum için bir soru. ”

Google, kullanıcıların tarayıcı eklentilerini yükleme ile ilgili riskler hakkında bilgilendirilmesini sağlamayı amaçlamaktadır. Google Chrome App Store'daki her uzantı, gerekli izinler konusunda açıktır ve verdiğiniz izinleri aşamaz. Bir uzantı olağandışı görünen şeyler yapmak istiyorsa, şüphe için bir nedeniniz var.

Ancak bazen, hepimizin bildiği gibi, kötü amaçlı yazılım kayar.

Google Yanlış Olduğunda

Google, şaşırtıcı bir şekilde, oldukça sıkı bir gemi tutuyor. En azından Google Chrome Web Mağazası söz konusu olduğunda saatlerinden çok fazla kaymıyor. Ancak bir şey yapıldığında, bu kötüdür.

  • AddToFeedly, kullanıcıların sitelerine bir web sitesi eklemelerine izin veren bir Chrome eklentisiydi Feedly RSS okuyucu Feedly, İnceleme: Bu kadar popüler bir Google Reader değiştirme yapan nedir?Artık Google Reader uzak bir bellek değil, RSS'nin geleceği için mücadele gerçekten devam ediyor. İyi dövüşle mücadele eden en önemli ürünlerden biri Feedly'dir. Google Reader bir ... Daha fazla oku abonelikleri. Hayatı meşru bir ürün olarak başlattı bir hobi geliştiricisi tarafından piyasaya sürüldü, ancak 2014 yılında dört rakamlı bir miktar için satın alındı. Yeni sahipler, eklentiyi sayfalara reklam enjekte eden ve pop-up'ları ortaya çıkaran SuperFish adware ile bağladı. SuperFish bu yılın başlarında geçerliliğini yitirdi Lenovo, tüm düşük kaliteli Windows dizüstü bilgisayarlarıyla gönderiyordu Lenovo Dizüstü Bilgisayar Sahipleri Dikkat: Cihazınız Önceden Yüklenmiş Kötü Amaçlı Yazılımlara Sahip OlabilirÇinli bilgisayar üreticisi Lenovo, 2014 sonlarında mağazalara ve tüketicilere gönderilen dizüstü bilgisayarların önceden yüklenmiş kötü amaçlı yazılımlar olduğunu kabul etti. Daha fazla oku .
  • Web Sayfası Ekran Görüntüsü kullanıcıların ziyaret ettikleri bir web sayfasının tamamını görüntülemesine olanak tanır ve 1 milyondan fazla bilgisayara yüklenmiştir. Bununla birlikte, kullanıcı bilgilerini ABD'deki tek bir IP adresine de iletmektedir. WebPage Screenshot'ın sahipleri herhangi bir yanlış yapmayı reddetti ve kalite güvence uygulamalarının bir parçası olduğu konusunda ısrar etti. Google, o zamandan beri Chrome Web Mağazası'ndan kaldırmıştır.
  • Adicionar Ao Google Chrome, ele geçirilmiş Facebook hesapları Facebook Hesabınız Saldırıldığında Hemen Yapılacak 4 ŞeyFacebook hesabınızın saldırıya uğradığından şüpheleniyorsanız, kontrolü bulmak ve kontrolü yeniden kazanmak için yapmanız gerekenler aşağıda açıklanmıştır. Daha fazla oku ve yetkisiz durumları, yayınları ve fotoğrafları paylaştı. Kötü amaçlı yazılım, YouTube'u taklit eden bir siteye yayıldı ve kullanıcılara video izlemek için eklentiyi yüklemelerini söyledi. Google o zamandan beri eklentiyi kaldırdı.

Çoğu insanın bilgisayarlarının büyük çoğunluğunu yapmak için Chrome'u kullandığı göz önüne alındığında, bu eklentilerin çatlaklardan geçmeyi başardığı rahatsız edici. Ama en azından bir prosedür kaybetmek. Uzantıları başka bir yerden yüklediğinizde korunmazsınız.

Android kullanıcıları istedikleri herhangi bir uygulamayı yükleyebilir gibi, Google size istediğiniz herhangi bir Chrome uzantısını yükleyin Chrome Uzantılarını Manuel Olarak YüklemeGoogle kısa süre önce üçüncü taraf web sitelerinden Chrome uzantılarının yüklenmesini devre dışı bırakmaya karar verdi, ancak bazı kullanıcılar yine de bu uzantıları yüklemek istiyor. Bunu nasıl yapacağınız aşağıda açıklanmıştır. Daha fazla oku , Chrome Web Mağazası'ndan gelmeyenler de dahil. Bu sadece tüketicilere biraz ekstra seçenek sunmak değil, aynı zamanda geliştiricilerin onay için göndermeden önce üzerinde çalıştıkları kodu test etmelerine izin vermektir.

uzantıları manuel

Ancak, manuel olarak yüklenen herhangi bir uzantının Google’ın zorlu test prosedürlerinden geçmediğini ve her türlü istenmeyen davranışı içerebileceğini hatırlamak önemlidir.

Ne Kadar Risk Altındasınız?

2014 yılında Google, Microsoft’un Internet Explorer’ını baskın web tarayıcısı olarak geçmiştir ve şu anda İnternet kullanıcılarının yaklaşık% 35'ini temsil etmektedir. Sonuç olarak, hızlı bir para kazanmak veya kötü amaçlı yazılım dağıtmak isteyen herkes için cazip bir hedef olarak kalır.

Google çoğunlukla başa çıkabildi. Olaylar oldu, ancak tecrit edildi. Kötü amaçlı yazılım kaçmayı başardığında, bununla ve Google'dan beklediğiniz profesyonellikle uğraştılar.

Ancak, uzantıların ve eklentilerin potansiyel bir saldırı vektörü olduğu açıktır. Çevrimiçi bankanıza giriş yapmak gibi hassas bir şey yapmayı planlıyorsanız, bunu ayrı, eklentisiz bir tarayıcıda veya gizli bir pencerede yapmak isteyebilirsiniz. Ve yukarıda listelenen uzantılardan herhangi birine sahipseniz, chrome: // extensions / Chrome adres çubuğunuzda, güvende olmak için bunları bulun ve silin.

Yanlışlıkla bazı Chrome kötü amaçlı yazılımları yüklediniz mi? Hikayeyi anlatmak için mi yaşıyorsun? Bunu duymak istiyorum. Bana aşağıya bir yorum bırakın, sohbet edelim.

Resim Kredileri: Parçalanmış cam çekiç Shutterstock ile

Matthew Hughes, Liverpool, İngiltere'den bir yazılım geliştiricisi ve yazarıdır. Elinde bir fincan güçlü siyah kahve olmadan nadiren bulunur ve kesinlikle Macbook Pro ve kamerasına hayran kalır. Blogunu şurada okuyabilirsiniz: http://www.matthewhughes.co.uk ve @matthewhughes'da Twitter'da takip edin.