Hoe veilig is de Chrome Web Store eigenlijk?

Hoe veilig is de Chrome Web Store eigenlijk?

Ongeveer 33% van alle Chromium-gebruikers heeft een of andere browserplug-in geïnstalleerd. In plaats van een niche, edge-technologie te zijn die uitsluitend door ervaren gebruikers wordt gebruikt, zijn add-ons positief mainstream, waarbij de meerderheid afkomstig is uit de Chrome Web Store en de Firefox Add-Ons Marketplace.





Maar hoe veilig zijn ze?



Volgens onderzoek zal worden gepresenteerd op het IEEE Symposium on Security and Privacy is het antwoord: niet erg . Uit het door Google gefinancierde onderzoek bleek dat tientallen miljoenen Chrome-gebruikers een of andere op add-on gebaseerde malware hebben geïnstalleerd, wat neerkomt op 5% van het totale Google-verkeer.





Het onderzoek resulteerde in het verwijderen van bijna 200 plug-ins uit de Chrome App Store, waardoor de algehele veiligheid van de markt in twijfel werd getrokken.

Dus, wat doet Google om ons veilig te houden, en hoe herken je een frauduleuze add-on? Ik ben er achter gekomen.



Waar add-ons vandaan komen

Noem ze zoals je wilt - browserextensies, plug-ins of add-ons - ze komen allemaal van dezelfde plaats. Onafhankelijke, externe ontwikkelaars die producten produceren die volgens hen in een behoefte voorzien of een probleem oplossen.

Browser-add-ons worden over het algemeen geschreven met behulp van webtechnologieën, zoals HTML, CSS en JavaScript, en zijn meestal gebouwd voor één specifieke browser, hoewel er enkele services van derden zijn die het maken van platformonafhankelijke browser-plug-ins vergemakkelijken.



Zodra een plug-in een voltooiingsniveau heeft bereikt en is getest, wordt deze vrijgegeven. Het is mogelijk om een ​​plug-in onafhankelijk te distribueren, hoewel de overgrote meerderheid van de ontwikkelaars ervoor kiest om ze te distribueren via Mozilla, Google en de extensiewinkels van Microsoft.

Voordat het ooit de computer van een gebruiker raakt, moet het echter worden getest om er zeker van te zijn dat het veilig is om te gebruiken. Zo werkt het in de Google Chrome App Store.



Chrome veilig houden

Vanaf het indienen van een extensie tot de uiteindelijke publicatie, er is een wachttijd van 60 minuten. Wat gebeurt hier? Welnu, achter de schermen zorgt Google ervoor dat de plug-in geen kwaadaardige logica bevat, of iets dat de privacy of veiligheid van de gebruikers in gevaar zou kunnen brengen.

Dit proces staat bekend als 'Enhanced Item Validation' (IEV) en is een reeks rigoureuze controles die de code van een plug-in en zijn gedrag bij installatie onderzoeken om malware te identificeren.

Google heeft ook publiceerde een 'stijlgids' van soorten die ontwikkelaars vertellen welk gedrag is toegestaan, en anderen uitdrukkelijk ontmoedigen. Het is bijvoorbeeld verboden om inline JavaScript - JavaScript dat niet in een apart bestand is opgeslagen - te gebruiken om het risico op cross-site scripting-aanvallen te verkleinen.

Google raadt ook ten zeerste het gebruik van 'eval' af, een programmeerconstructie waarmee code code kan uitvoeren en allerlei beveiligingsrisico's met zich mee kan brengen. Ze zijn ook niet zo dol op plug-ins die verbinding maken met externe, niet-Google-services, omdat dit het risico van een Man-In-The-Middle (MITM) -aanval met zich meebrengt.

Dit zijn eenvoudige stappen, maar zijn voor het grootste deel effectief om gebruikers veilig te houden. Javvad Malik , Security Advocate bij Alienware, vindt het een stap in de goede richting, maar merkt op dat de grootste uitdaging om gebruikers veilig te houden een kwestie van onderwijs is.

'Het onderscheid maken tussen goede en slechte software wordt steeds moeilijker. Om te parafraseren: de legitieme software van de een is het identiteitsstelende, privacy-aantastende kwaadaardige virus van een ander, gecodeerd in de ingewanden van de hel. 'Begrijp me niet verkeerd, ik juich de stap van Google toe om deze kwaadaardige extensies te verwijderen - sommige van deze zouden zijn om te beginnen nooit openbaar gemaakt. Maar de uitdaging voor bedrijven als Google is om toezicht te houden op de extensies en de grenzen te bepalen van wat acceptabel gedrag is. Een gesprek dat verder gaat dan een beveiliging of technologie en een vraag voor de internetgebruikende samenleving als geheel.'

Google wil ervoor zorgen dat gebruikers worden geïnformeerd over de risico's die gepaard gaan met het installeren van browserplug-ins. Elke extensie in de Google Chrome App Store is expliciet over de vereiste machtigingen en kan de machtigingen die u eraan geeft niet overschrijden. Als een extensie vraagt ​​om dingen te doen die ongebruikelijk lijken, dan heb je reden tot verdenking.

Maar af en toe glipt er, zoals we allemaal weten, malware door.

spel om te spelen als je je online verveelt

Wanneer Google het bij het verkeerde eind heeft

Google houdt verrassend genoeg een behoorlijk strak schip. Er glipt niet veel langs hun horloge, althans als het gaat om de Google Chrome Web Store. Als er iets is, is het echter slecht.

  • AddToFeedly was een Chrome-plug-in waarmee gebruikers een website konden toevoegen aan hun Feedly RSS-lezerabonnementen. Het begon als een legitiem product vrijgegeven door een hobbyist-ontwikkelaar , maar werd in 2014 gekocht voor een bedrag van vier cijfers. De nieuwe eigenaren combineerden de plug-in vervolgens met de SuperFish-adware, die advertenties op pagina's injecteerde en pop-ups voortbracht. SuperFish kreeg eerder dit jaar bekendheid toen bleek dat Lenovo het met al hun low-end Windows-laptops had geleverd.
  • Schermafbeelding van webpagina stelt gebruikers in staat een afbeelding vast te leggen van het geheel van een webpagina die ze bezoeken, en is geïnstalleerd op meer dan 1 miljoen computers. Het heeft echter ook gebruikersinformatie naar een enkel IP-adres in de Verenigde Staten verzonden. De eigenaren van WebPage Screenshot hebben elk wangedrag ontkend en staan ​​erop dat het deel uitmaakte van hun kwaliteitsborgingspraktijken. Google heeft het inmiddels uit de Chrome Web Store verwijderd.
  • Toevoegen aan Google Chrome was een frauduleuze extensie die gekaapte Facebook-accounts , en gedeelde ongeautoriseerde statussen, berichten en foto's. De malware werd verspreid via een site die YouTube nabootste en vertelde gebruikers om de plug-in te installeren om video's te kunnen bekijken. Google heeft de plug-in inmiddels verwijderd.

Aangezien de meeste mensen Chrome gebruiken voor het overgrote deel van hun computergebruik, is het verontrustend dat deze plug-ins erin slaagden door de kieren te glippen. Maar er was tenminste een procedure falen. Wanneer u extensies van elders installeert, bent u niet beschermd.

Net zoals Android-gebruikers elke app kunnen installeren die ze willen, laat Google je elke gewenste Chrome-extensie installeren, inclusief degenen die niet uit de Chrome Web Store komen. Dit is niet alleen om consumenten een beetje extra keuze te geven, maar om ontwikkelaars in staat te stellen de code waaraan ze hebben gewerkt te testen voordat ze deze ter goedkeuring opsturen.

Het is echter belangrijk om te onthouden dat elke extensie die handmatig wordt geïnstalleerd, niet de strenge testprocedures van Google heeft doorlopen en allerlei soorten ongewenst gedrag kan bevatten.

Hoe risico loopt u?

In 2014 haalde Google Internet Explorer van Microsoft in als de dominante webbrowser en vertegenwoordigt nu bijna 35% van de internetgebruikers. Als gevolg hiervan blijft het een verleidelijk doelwit voor iedereen die snel geld wil verdienen of malware wil verspreiden.

Google heeft het grotendeels aankunnen. Er zijn incidenten geweest, maar die zijn geïsoleerd. Wanneer malware erin is geslaagd om erdoorheen te glippen, hebben ze dit adequaat aangepakt en met de professionaliteit die u van Google mag verwachten.

Het is echter duidelijk dat extensies en plug-ins een potentiële aanvalsvector zijn. Als u van plan bent iets gevoeligs te doen, zoals inloggen op uw online bankieren, kunt u dat het beste doen in een aparte browser zonder plug-ins of in een incognitovenster. En als u een van de hierboven genoemde extensies heeft, typt u chrome://extensies/ in uw Chrome-adresbalk en zoek en verwijder ze vervolgens voor de zekerheid.

Heb je ooit per ongeluk Chrome-malware geïnstalleerd? Leven om het verhaal te vertellen? Ik wil erover horen. Stuur me een reactie hieronder, en we zullen chatten.

Afbeeldingscredits: Hamer op verbrijzeld glas Via Shutterstock

Deel Deel Tweeten E-mail Dark Web versus Deep Web: wat is het verschil?

Het dark web en deep web worden vaak aangezien als één en hetzelfde. Maar dat is niet het geval, dus wat is het verschil?

Lees volgende Gerelateerde onderwerpen
  • Browsers
  • Veiligheid
  • Google Chrome
  • Online beveiliging
Over de auteur Matthew Hughes(386 artikelen gepubliceerd)

Matthew Hughes is een softwareontwikkelaar en schrijver uit Liverpool, Engeland. Hij wordt zelden gevonden zonder een kop sterke zwarte koffie in zijn hand en is helemaal weg van zijn Macbook Pro en zijn camera. Je kunt zijn blog lezen op http://www.matthewhughes.co.uk en hem volgen op Twitter op @matthewhughes.

Meer van Matthew Hughes

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Klik hier om je te abonneren