Chrome Web Store到底有多安全?

约有33%的Chromium用户安装了某种浏览器插件。附加组件并没有成为利基市场,而是仅由高级用户使用的边缘技术,而是积极地成为主流,其中大部分来自Chrome Web Store和Firefox附加组件市场。

但是安全性有多高

根据将在IEEE安全与隐私研讨会上进行的研究,答案不是不是。这项由Google资助的研究发现,数以千万计的Chrome用户安装了各种基于附件的恶意软件,占Google总流量的5%。

该研究导致将近200个插件从Chrome应用商店,并质疑了市场的整体安全性。

那么,Google为保护我们的安全正在采取什么措施,以及如何发现流氓附加组件?我发现了。

随便给他们打电话-浏览器扩展,插件或附加组件-它们都来自同一个地方。独立的第三方开发人员生产他们认为有需要或解决问题的产品。

浏览器加载项通常使用HTML,CSS和JavaScript等网络技术编写,通常是为一个特定的浏览器构建的,尽管有一些第三方服务可以促进跨平台浏览器插件的创建。

插件完成并经过测试后,便会发布。可以独立分发插件,尽管绝大多数开发人员选择通过Mozilla,Google和Microsoft的扩展商店分发插件。

尽管在接触用户计算机之前,还必须对其进行测试以确保使用安全。它在Google Chrome App Store上的工作方式如下。

从提交扩展程序到最终发布,都需要60分钟的等待时间。这里会发生什么?嗯,在幕后,谷歌正在确保该插件不包含任何恶意逻辑或任何可能危害用户隐私或安全的东西。

此过程称为“增强项验证" (IEV),并进行一系列严格的检查,以检查插件的代码及其安装后的行为,以识别恶意软件。

Google还发布了一种“样式指南",该指南告诉开发人员允许哪些行为,并明确劝阻他人。例如,为了避免跨站点脚本攻击的风险,禁止使用内联JavaScript(未存储在单独文件中的JavaScript)。

Google强烈建议不要使用'eval ",这是一种允许代码执行代码的编程结构,并可能带来各种安全风险。他们也不是很热衷于连接到远程非Google服务的插件,因为这带来了中间人(MITM)攻击的风险。

这些是简单的步骤,但是在确保用户安全方面最有效。 Alienware的安全倡导者Javvad Malik认为,这是朝正确方向迈出的一步,但他指出,确保用户安全的最大挑战是教育问题。

“区分好软件和坏软件正在变得越来越重要。越来越困难。换个说法,一个人的合法软件是另一个人的身份窃取,危害隐私的恶意病毒,它编码在地狱的肠子里。

“不要误会我的意思,我欢迎Google采取行动删除这些恶意软件恶意扩展-其中某些扩展永远都不应公开。但是,对于像Google这样的公司而言,面临的挑战是监管扩展并定义可接受行为的限制。

Google的目标是确保用户了解与安装浏览器插件相关的风险,这不仅限于安全性或技术,还涉及整个互联网使用社会的问题。 Google Chrome App Store上的每个扩展程序都明确要求的权限,并且不能超出您为其赋予的权限。如果某个扩展程序要求执行似乎不寻常的操作,那么您就有理由怀疑。

但是,众所周知,偶尔会有恶意软件潜入。

令人惊讶的是,Google不断船很紧。至少在涉及Google Chrome网上应用店时,他们的注意并不多。但是,当发生问题时,那就不好了。

  • AddToFeedly是一个Chrome插件,允许用户将网站添加到他们的Feedly RSS阅读器中。
  • WebPage屏幕截图允许用户捕获以下图片:他们正在访问的整个网页,并且已安装在超过100万台计算机上。但是,它也一直在将用户信息传输到美国的单个IP地址。 WebPage屏幕截图的所有者否认有任何不当行为,并坚持认为这是其质量保证做法的一部分。谷歌此后将其从Chrome网上应用店中删除。
  • Adicionar Ao谷歌浏览器是一个流氓扩展程序,劫持了Facebook帐户,并共享未经授权的状态,帖子和照片。该恶意软件通过模仿YouTube的网站传播,并告诉用户安装该插件以观看视频。谷歌此后已删除了该插件。

    • 鉴于大多数人都使用Chrome来执行其绝大部分计算,因此这些插件无法顺利完成工作令人感到困扰。但是至少有一个过程失败了。从其他位置安装扩展程序时,不受保护。

    就像Android用户可以安装他们想要的任何应用程序一样,Google可以让您安装所需的任何Chrome扩展程序,包括那些不是来自Chrome网上应用店。这不仅为消费者提供了更多选择,而且还允许开发人员在发送代码以供批准之前对其进行测试的代码进行测试。

    但是,重要的是要记住手动安装的任何扩展程序都没有经过Google严格的测试程序,并且可能包含各种不良行为。

    2014年,Google取代了Microsoft的Internet Explorer,成为了主要的网络浏览器,现在代表了近35%的互联网用户。因此,对于希望快速赚钱或散布恶意软件的人来说,它仍然是一个诱人的目标。

    Google在大多数情况下已经能够应对。发生了一些事件,但它们是孤立的。恶意软件成功通过后,便可以方便地进行处理,并以您期望Google提供的专业知识进行处理。

    但是,很明显,扩展程序和插件是潜在的攻击媒介。如果您打算进行任何敏感的事情(例如登录网上银行),则可能要在单独的,无插件的浏览器或隐身窗口中进行。并且,如果您有上面列出的任何扩展程序,请在Chrome地址栏中输入 chrome:// extensions / ,然后为了安全起见找到并删除它们。

    < strong>您是否曾经不小心安装了一些Chrome恶意软件?现场讲故事吗?我想听听。在下面给我留言,我们会聊天。

    图片来源:通过Shutterstock在碎玻璃上打锤

    标签: Google Chrome 在线安全性