Qual é a segurança da Chrome Web Store?

Propaganda

Cerca de 33% de todos os usuários do Chromium têm algum tipo de plug-in de navegador instalado. Em vez de ser um nicho, tecnologia de ponta usada exclusivamente por usuários avançados, os complementos são positivamente mainstream, com a maioria vindo da Chrome Web Store e do Firefox Add-Ons Marketplace.

Mas quão seguros eles são?

De acordo com a pesquisa deve ser apresentado no Simpósio IEEE sobre Segurança e Privacidade, a resposta é não muito. O estudo financiado pelo Google descobriu que dezenas de milhões de usuários do Chrome possuem alguma variedade de malware baseado em add-on instalado, o que representa 5% do tráfego total do Google.

A pesquisa resultou na remoção de quase 200 plugins da Chrome App Store e questionou a segurança geral do mercado.

Então, o que o Google está fazendo para nos manter seguros e como você pode identificar um complemento nocivo? Eu descobri.

De onde vêm os complementos

Chame-os como quiser - extensões de navegador, plug-ins ou complementos - todos eles vêm do mesmo lugar. Desenvolvedores independentes e de terceiros que produzem produtos que consideram atender a uma necessidade ou resolver um problema.

Os complementos do navegador geralmente são escritos usando tecnologias da web, como HTML, CSS, e JavaScript O que é JavaScript, e a Internet pode existir sem ele?JavaScript é uma daquelas coisas que muitos dão como certo. Todo mundo usa. consulte Mais informação , e geralmente são criados para um navegador específico, embora existam alguns serviços de terceiros que facilitam a criação de plug-ins de navegador de plataforma cruzada.

Depois que um plugin atinge um nível de conclusão e é testado, ele é lançado. É possível distribuir um plug-in de forma independente, embora a grande maioria dos desenvolvedores opte por distribuí-lo pelas lojas de extensões Mozilla, Google e Microsoft.

Embora, antes de tocar no computador de um usuário, ele precise ser testado para garantir a segurança do uso. Veja como funciona na Google Chrome App Store.

Como manter o Chrome seguro

Desde o envio de uma extensão até sua publicação final, há uma espera de 60 minutos. o que acontece aqui? Bem, nos bastidores, o Google garante que o plug-in não contenha nenhuma lógica maliciosa ou algo que possa comprometer a privacidade ou a segurança dos usuários.

Esse processo é conhecido como "Validação aprimorada de itens" (IEV) e é uma série de verificações rigorosas que examinam o código de um plug-in e seu comportamento quando instalado, para identificar malware.

Google também publicou um "guia de estilo" de tipos que informam aos desenvolvedores quais comportamentos são permitidos e desencorajam expressamente os outros. Por exemplo, é proibido o uso de JavaScript embutido - JavaScript que não está armazenado em um arquivo separado - para reduzir o risco de ataques de script entre sites O que é o script entre sites (XSS) e por que é uma ameaça à segurançaAs vulnerabilidades de script entre sites são o maior problema de segurança de sites atualmente. Estudos descobriram que eles são surpreendentemente comuns - 55% dos sites continham vulnerabilidades XSS em 2011, de acordo com o último relatório da White Hat Security, lançado em junho ... consulte Mais informação .

O Google também desencoraja fortemente o uso de 'eval', que é uma construção de programação que permite que o código execute o código e pode apresentar todos os tipos de riscos à segurança. Eles também não gostam muito de plug-ins que se conectam a serviços remotos que não são do Google, pois isso representa o risco de Ataque Man-In-The-Middle (MITM) O que é um ataque do tipo intermediário? Jargão de segurança explicadoSe você já ouviu falar em ataques "intermediários", mas não sabe ao certo o que isso significa, este é o artigo para você. consulte Mais informação .

Essas são etapas simples, mas na maioria das vezes são eficazes para manter os usuários seguros. Javvad Malik, Advogado de segurança da Alienware, acha que é um passo na direção certa, mas observa que o maior desafio para manter os usuários seguros é uma questão de educação.

“Fazer a distinção entre software bom e ruim está se tornando cada vez mais difícil. Parafraseando, um software legítimo do homem é outro vírus malicioso que rouba identidade e compromete a privacidade, codificado nas entranhas do inferno.

"Não me entenda mal, congratulo-me com a decisão do Google de remover essas extensões maliciosas - algumas delas nunca deveriam ter sido divulgadas publicamente. Mas o desafio a seguir para empresas como o Google é policiar as extensões e definir os limites do comportamento aceitável. Uma conversa que se estende além de uma segurança ou tecnologia e uma pergunta para a sociedade que usa a Internet em geral. ”

O Google tem como objetivo garantir que os usuários sejam informados sobre os riscos associados à instalação de plug-ins de navegador. Cada extensão na Google Chrome App Store é explícita sobre as permissões necessárias e não pode exceder as permissões concedidas. Se uma extensão estiver pedindo para fazer coisas que pareçam incomuns, você terá motivos de suspeita.

Ocasionalmente, porém, como todos sabemos, o malware passa despercebido.

Quando o Google está errado

O Google, surpreendentemente, mantém um navio bastante restrito. Não se esquece muito do relógio, pelo menos quando se trata da Google Chrome Web Store. Quando algo acontece, no entanto, é ruim.

• AddToFeedly era um plug-in do Chrome que permitia aos usuários adicionar um site à sua Feedly RSS reader Feedly, Avaliado: O que o torna um substituto tão popular no Google Reader?Agora que o Google Reader é apenas uma memória distante, a luta pelo futuro do RSS está realmente ativa. Um dos produtos mais notáveis ​​no combate ao bom combate é o Feedly. O Google Reader não era um ... consulte Mais informação assinaturas. Começou a vida como um produto legítimo lançado por um desenvolvedor hobby, mas foi comprado por uma soma de quatro dígitos em 2014. Os novos proprietários amarraram o plug-in com o adware SuperFish, que injetou publicidade em páginas e gerou pop-ups. O SuperFish ganhou notoriedade no início deste ano, quando ocorreu A Lenovo o enviava com todos os seus laptops Windows low-end Os proprietários de laptops da Lenovo devem ter cuidado: o dispositivo pode ter malware pré-instaladoA fabricante chinesa de computadores Lenovo admitiu que os laptops enviados para lojas e consumidores no final de 2014 tinham o malware pré-instalado. consulte Mais informação .
• Captura de tela da página da Web permite que os usuários capturem uma imagem da totalidade da página da web que estão visitando e foi instalado em mais de 1 milhão de computadores. No entanto, também transmitiu informações do usuário para um único endereço IP nos Estados Unidos. Os proprietários do Screenshot da WebPage negaram qualquer irregularidade e insistem que fazia parte de suas práticas de garantia de qualidade. O Google o removeu da Chrome Web Store.
• Adicionar Ao Google Chrome era uma extensão não autorizada que contas invadidas do Facebook 4 coisas para fazer imediatamente quando sua conta do Facebook foi invadidaSe você suspeitar que sua conta do Facebook foi invadida, veja o que fazer para descobrir e recuperar o controle. consulte Mais informação , e status, postagens e fotos não autorizados compartilhados. O malware foi espalhado por um site que imitava o YouTube e disse aos usuários para instalar o plug-in para assistir a vídeos. O Google removeu o plug-in.

Dado que a maioria das pessoas usa o Chrome para fazer a grande maioria de seus computadores, é preocupante que esses plug-ins tenham escapado das falhas. Mas pelo menos havia um procedimento falhar. Ao instalar extensões de outros lugares, você não está protegido.

Assim como os usuários do Android podem instalar qualquer aplicativo que desejarem, o Google permite que você instale qualquer extensão do Chrome desejada Como instalar extensões do Chrome manualmenteRecentemente, o Google decidiu desativar a instalação de extensões do Chrome de sites de terceiros, mas alguns usuários ainda desejam instalar essas extensões. Aqui está como fazê-lo. consulte Mais informação , incluindo aqueles que não são da Chrome Web Store. Isso não é apenas para oferecer aos consumidores um pouco de opção extra, mas para permitir que os desenvolvedores testem o código em que estão trabalhando antes de enviá-lo para aprovação.

No entanto, é importante lembrar que qualquer extensão instalada manualmente não passou pelos rigorosos procedimentos de teste do Google e pode conter todo tipo de comportamento indesejável.

Como você está em risco?

Em 2014, o Google ultrapassou o Internet Explorer da Microsoft como o navegador dominante e agora representa quase 35% dos usuários da Internet. Como resultado, para quem quer ganhar dinheiro rapidamente ou distribuir malware, ele continua sendo um alvo tentador.

O Google, na maior parte, conseguiu lidar com isso. Houve incidentes, mas eles foram isolados. Quando os malwares conseguem escapar, eles lidam com eles com agilidade e com o profissionalismo que você espera do Google.

No entanto, é claro que extensões e plugins são um vetor de ataque em potencial. Se você planeja fazer algo confidencial, como fazer login no seu banco on-line, convém fazer isso em um navegador separado e sem plug-ins ou em uma janela anônima. E se você tiver alguma das extensões listadas acima, digite chrome: // extensões / na barra de endereços do Chrome, localize e exclua-os, apenas por segurança.

Você já instalou acidentalmente algum malware do Chrome? Vive para contar a história? Eu quero ouvir sobre isso. Deixe-me um comentário abaixo e conversaremos.

Créditos da imagem: Martelo em vidro quebrado Via Shutterstock