Wie sicher ist der Chrome Web Store überhaupt?
Bei etwa 33% aller Chromium-Benutzer ist ein Browser-Plugin installiert. Add-Ons sind keine Nischen- und Spitzentechnologie, die ausschließlich von Power-Usern genutzt wird, sondern sind ein Mainstream. Die Mehrheit kommt aus dem Chrome Web Store und dem Firefox Add-Ons Marketplace.
Aber wie sicher sind sie??
Laut einer Studie, die auf dem IEEE-Symposium zu Sicherheit und Datenschutz präsentiert werden soll, lautet die Antwort nicht sehr. Die von Google finanzierte Studie ergab, dass Millionen von Chrome-Nutzern eine Reihe von Add-On-basierter Malware installiert haben, die 5% des gesamten Google-Verkehrs ausmacht.
Die Untersuchung führte dazu, dass fast 200 Plugins aus dem Chrome App Store entfernt wurden und die allgemeine Sicherheit des Marktes in Frage gestellt wurde.
Also, was tut Google, um uns zu schützen, und wie können Sie ein Rogue-Add-On entdecken? ich fand heraus.
Wo kommen Add-Ons her?
Nennen Sie sie wie Sie wollen - Browsererweiterungen, Plugins oder Add-Ons - sie kommen alle von derselben Stelle. Unabhängige Entwickler von Drittanbietern, die Produkte herstellen, von denen sie glauben, dass sie ein Bedürfnis erfüllen oder ein Problem lösen.
Browser-Add-Ons werden im Allgemeinen mithilfe von Webtechnologien wie HTML, CSS und JavaScript geschrieben. Was ist JavaScript und kann das Internet ohne es existieren? Was ist JavaScript und kann das Internet ohne es existieren? JavaScript ist eines der Dinge, die viele als selbstverständlich betrachten. Jeder nutzt es. Weitere Informationen finden Sie in der Regel für einen bestimmten Browser. Es gibt jedoch einige Dienste von Drittanbietern, die die Erstellung plattformübergreifender Browser-Plugins erleichtern.
Wenn ein Plugin einen Fertigstellungsgrad erreicht hat und getestet wurde, wird es freigegeben. Es ist möglich, ein Plugin unabhängig zu verteilen, obwohl die große Mehrheit der Entwickler diese stattdessen über die Erweiterungsgeschäfte von Mozilla, Google und Microsoft verteilt.
Bevor der Computer eines Benutzers jedoch berührt wird, muss er getestet werden, um sicherzustellen, dass er sicher verwendet werden kann. So funktioniert es im Google Chrome App Store.
Chrome sicher aufbewahren
Von der Einreichung einer Erweiterung bis zur eventuellen Veröffentlichung dauert es 60 Minuten. was geschieht hier? Hinter den Kulissen sorgt Google dafür, dass das Plugin keine schädliche Logik enthält oder alles, was die Privatsphäre oder die Sicherheit der Nutzer gefährden könnte.
Dieser Vorgang wird als "Enhanced Item Validation" (IEV) bezeichnet und umfasst eine Reihe strenger Überprüfungen, bei denen der Code eines Plugins und sein Verhalten bei der Installation untersucht werden, um Malware zu identifizieren.
Google hat auch einen "Style-Guide" veröffentlicht, der den Entwicklern mitteilt, welche Verhaltensweisen zulässig sind, und andere ausdrücklich davon abhält. Es ist beispielsweise verboten, Inline-JavaScript zu verwenden - JavaScript, das nicht in einer separaten Datei gespeichert ist -, um das Risiko von Cross-Site-Scripting-Angriffen zu minimieren. Was ist Cross-Site Scripting (XSS) und warum ist es eine Sicherheitsbedrohung? Was ist Cross? -Site Scripting (XSS) und warum dies eine Sicherheitsbedrohung ist Cross-Site Scripting-Schwachstellen sind heute das größte Sicherheitsproblem für Websites. Studien haben gezeigt, dass sie schockierend häufig sind. Laut dem letzten Bericht von White Hat Security, der im Juni veröffentlicht wurde, waren im Jahr 2011 55% der Websites XSS-Schwachstellen… Lesen Sie mehr .
Google rät auch dringend davon ab, "eval" zu verwenden, ein Programmierkonstrukt, das die Ausführung von Code ermöglicht und alle möglichen Sicherheitsrisiken birgt. Sie sind auch nicht besonders an Plugins interessiert, die eine Verbindung zu Remote-Diensten von Google herstellen, da dies das Risiko eines Man-In-The-Middle-Angriffs (MITM) darstellt. Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Wenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, sich aber nicht ganz sicher sind, was das bedeutet, ist dies der Artikel für Sie. Weiterlesen .
Dies sind einfache Schritte, die jedoch zum größten Teil die Sicherheit der Benutzer gewährleisten. Javvad Malik, Sicherheitsanwalt bei Alienware, ist der Meinung, dass dies ein Schritt in die richtige Richtung ist, stellt jedoch fest, dass die größte Herausforderung bei der Sicherheit der Benutzer ein Problem der Bildung ist.
“Die Unterscheidung zwischen guter und schlechter Software wird immer schwieriger. Eine seriöse Software eines Mannes ist ein identitätsraubender, die Privatsphäre verletzender bösartiger Virus, der im Inneren der Hölle codiert ist.
“Verstehen Sie mich nicht falsch, ich begrüße den Schritt von Google, diese schädlichen Erweiterungen zu entfernen - einige davon sollten zu Beginn noch nie öffentlich gemacht worden sein. Die Herausforderung für Unternehmen wie Google besteht jedoch darin, die Erweiterungen zu überwachen und die Grenzen des akzeptablen Verhaltens festzulegen. Ein Gespräch, das über Sicherheit oder Technologie und eine Frage für die Internetnutzergesellschaft hinausgeht.”
Google möchte sicherstellen, dass die Nutzer über die Risiken bei der Installation von Browser-Plugins informiert werden. Jede Erweiterung im Google Chrome App Store enthält explizit die erforderlichen Berechtigungen und darf die von Ihnen erteilten Berechtigungen nicht überschreiten. Wenn eine Erweiterung dazu auffordert, Dinge zu tun, die ungewöhnlich erscheinen, haben Sie Grund zu Verdacht.
Aber wie wir alle wissen, rutscht Malware gelegentlich durch.
Wenn Google es falsch bekommt
Google hält überraschenderweise ein ziemlich enges Schiff. Nicht viel rutscht an ihrer Uhr vorbei, zumindest wenn es um den Google Chrome Web Store geht. Wenn doch etwas passiert, ist es schlecht.
- AddToFeedly war ein Chrome-Plugin, mit dem Benutzer ihrem Feedly-RSS-Reader eine Website hinzufügen können Feedly, Review: Was macht es zu einem beliebten Google Reader-Ersatz? Feedly, Review: Was macht es zu einem beliebten Google Reader-Ersatz? Nun, da Google Reader nur noch eine ferne Erinnerung ist, beginnt der Kampf um die Zukunft von RSS wirklich. Eines der bemerkenswertesten Produkte gegen den guten Kampf ist Feedly. Google Reader war kein Abonnement. Es begann als legitimes Produkt, das von einem Hobby-Entwickler herausgebracht wurde, wurde aber 2014 für eine vierstellige Summe gekauft. Das neue Plugin wurde dann mit der SuperFish-Adware versehen, durch die Werbung in Seiten eingefügt und Pop-ups erzeugt wurden. SuperFish wurde Anfang des Jahres bekannt, als es bekannt wurde, dass Lenovo es mit all seinen preiswerten Windows-Laptops ausgeliefert hatte. Lenovo Laptop-Besitzer Achtung: Ihr Gerät ist möglicherweise vorinstalliert. Malware Lenovo Laptop-Besitzer: Vorsicht: Möglicherweise hat Ihr Gerät Malware vorinstalliert Die Laptops, die Ende 2014 an Läden und Verbraucher ausgeliefert wurden, hatten Malware vorinstalliert. Weiterlesen .
- Mit WebPage Screenshot können Benutzer ein Bild der gesamten von ihnen besuchten Webseite erfassen und wurden auf über 1 Million Computern installiert. Es hat jedoch auch Benutzerinformationen an eine einzige IP-Adresse in den USA übertragen. Die Besitzer von WebPage Screenshot haben jedes Fehlverhalten bestritten und bestehen darauf, dass es Teil ihrer Qualitätssicherungspraktiken war. Google hat es seitdem aus dem Chrome Web Store entfernt.
- Adicionar Ao Google Chrome war eine böswillige Erweiterung, die Facebook-Konten entführte. 4 Dinge, die sofort zu tun sind, wenn Ihr Facebook-Konto gehackt wird. 4 Dinge, die sofort zu tun sind, wenn Ihr Facebook-Konto gehackt ist. So sichern Sie ein gehacktes Facebook-Konto und halten den Schaden unter Kontrolle. Lesen Sie mehr und teilen Sie nicht autorisierte Status, Beiträge und Fotos. Die Malware wurde über eine Website verbreitet, die YouTube nachahmte und die Benutzer aufforderte, das Plugin zu installieren, um Videos anzusehen. Google hat das Plugin inzwischen entfernt.
In Anbetracht der Tatsache, dass die meisten Benutzer Chrome für die überwiegende Mehrheit ihrer Computer verwenden, ist es besorgniserregend, dass diese Plugins durch die Risse geraten sind. Aber zumindest gab es eine Verfahren Versagen. Wenn Sie Erweiterungen an anderer Stelle installieren, sind Sie nicht geschützt.
So wie Android-Benutzer jede App installieren können, die sie möchten, können Sie mit Google jede beliebige Chrome-Erweiterung installieren. So installieren Sie Chrome-Erweiterungen manuell So installieren Sie Chrome-Erweiterungen manuell Google hat vor kurzem die Installation von Chrome-Erweiterungen von Websites von Drittanbietern deaktiviert Benutzer möchten diese Erweiterungen trotzdem installieren. Hier ist, wie es geht. Weitere Informationen, einschließlich solcher, die nicht aus dem Chrome Web Store stammen. Dies bedeutet nicht nur, dass die Verbraucher eine zusätzliche Auswahl haben, sondern vielmehr, dass Entwickler den Code testen können, an dem sie gearbeitet haben, bevor sie ihn zur Genehmigung absenden.
Beachten Sie jedoch, dass jede manuell installierte Erweiterung nicht die strengen Testverfahren von Google durchlaufen hat und allerlei unerwünschtes Verhalten enthalten kann.
Wie gefährdet sind Sie??
Im Jahr 2014 hat Google den Internet Explorer von Microsoft als dominanten Webbrowser überholt und macht jetzt fast 35% der Internetnutzer aus. Für alle, die schnell Geld verdienen oder Malware verteilen möchten, bleibt dies ein verlockendes Ziel.
Google konnte zum größten Teil zurechtkommen. Es gab Vorfälle, aber sie wurden isoliert. Wenn Malware durchgedrungen ist, ist sie mit der erforderlichen Vorgehensweise und mit der Professionalität, die Sie von Google erwarten würden, umgegangen.
Es ist jedoch klar, dass Erweiterungen und Plugins einen potenziellen Angriffsvektor darstellen. Wenn Sie vorhaben, sensible Aktionen durchzuführen, z. B. sich bei Ihrem Online-Banking anzumelden, möchten Sie dies möglicherweise in einem separaten, Plugin-freien Browser oder in einem Inkognito-Fenster tun. Wenn Sie eine der oben aufgeführten Erweiterungen haben, geben Sie Folgendes ein Chrom: // Erweiterungen / Suchen und löschen Sie sie in Ihrer Chrome-Adressleiste, um sicherzugehen.
Haben Sie schon einmal versehentlich Chrome-Malware installiert? Live, um die Geschichte zu erzählen? Ich möchte davon hören. Schicken Sie mir einen Kommentar und wir unterhalten uns.
Bildnachweis: Hammer auf Shatterstock
Erfahren Sie mehr über: Google Chrome, Online-Sicherheit.