Cửa hàng Chrome trực tuyến vẫn an toàn như thế nào?

Cửa hàng Chrome trực tuyến vẫn an toàn như thế nào?

Khoảng 33% tổng số người dùng Chromium đã cài đặt một số loại plugin trình duyệt. Thay vì là một công nghệ tiên tiến chỉ được sử dụng bởi những người dùng thành thạo, các tiện ích bổ sung lại là xu hướng chủ đạo, với phần lớn đến từ Cửa hàng Chrome trực tuyến và Thị trường tiện ích bổ sung của Firefox.





Nhưng chúng an toàn đến mức nào?



Theo nghiên cứu do được trình bày tại Hội nghị chuyên đề IEEE về Bảo mật và Quyền riêng tư, câu trả lời là không hẳn . Nghiên cứu do Google tài trợ cho thấy hàng chục triệu người dùng Chrome đã cài đặt một số phần mềm độc hại dựa trên tiện ích bổ sung, chiếm 5% tổng lưu lượng truy cập của Google.





Nghiên cứu dẫn đến việc gần 200 plugin bị xóa khỏi Chrome App Store và đặt ra câu hỏi về tính bảo mật tổng thể của thị trường.

Vì vậy, Google đang làm gì để giữ an toàn cho chúng tôi và làm cách nào bạn có thể phát hiện ra một tiện ích bổ sung giả mạo? Tôi đã phát hiện ra.



Nơi bổ trợ đến từ

Hãy gọi cho họ những gì bạn muốn - tiện ích mở rộng trình duyệt, plugin hoặc tiện ích bổ sung - tất cả đều đến từ cùng một nơi. Các nhà phát triển bên thứ ba, độc lập sản xuất các sản phẩm mà họ cảm thấy phục vụ được nhu cầu hoặc giải quyết một vấn đề.

Các tiện ích bổ sung của trình duyệt thường được viết bằng công nghệ web, chẳng hạn như HTML, CSS và JavaScript và thường được xây dựng cho một trình duyệt cụ thể, mặc dù có một số dịch vụ của bên thứ ba tạo điều kiện thuận lợi cho việc tạo các plugin trình duyệt đa nền tảng.



Khi một plugin đã đạt đến mức độ hoàn thiện và được kiểm tra, thì nó sẽ được phát hành. Có thể phân phối một plugin một cách độc lập, mặc dù thay vào đó, đại đa số các nhà phát triển chọn phân phối chúng thông qua các cửa hàng tiện ích mở rộng của Mozilla, Google và Microsoft.

Mặc dù, trước khi nó chạm vào máy tính của người dùng, nó phải được kiểm tra để đảm bảo rằng nó an toàn khi sử dụng. Đây là cách nó hoạt động trên Google Chrome App Store.



Giữ Chrome an toàn

Từ khi gửi một phần mở rộng cho đến khi xuất bản cuối cùng của nó, có 60 phút chờ đợi. chuyện gì xảy ra ở đây thế? Vâng, đằng sau hậu trường, Google đang đảm bảo rằng plugin không chứa bất kỳ logic độc hại nào hoặc bất kỳ thứ gì có thể ảnh hưởng đến quyền riêng tư hoặc sự an toàn của người dùng.

Quá trình này được gọi là 'Xác thực mặt hàng nâng cao' (IEV) và là một loạt các bước kiểm tra nghiêm ngặt nhằm kiểm tra mã của plugin và hành vi của nó khi được cài đặt, để xác định phần mềm độc hại.

Google cũng có đã xuất bản một 'hướng dẫn phong cách' các loại cho nhà phát triển biết những hành vi nào được phép và rõ ràng không khuyến khích những người khác. Ví dụ: không được phép sử dụng JavaScript nội tuyến - JavaScript không được lưu trữ trong một tệp riêng biệt - để giảm thiểu rủi ro chống lại các cuộc tấn công tập lệnh trên nhiều trang web.

Google cũng không khuyến khích việc sử dụng 'eval', một cấu trúc lập trình cho phép mã thực thi mã và có thể gây ra tất cả các loại rủi ro bảo mật. Họ cũng không quá quan tâm đến các plugin kết nối với các dịch vụ từ xa, không phải của Google, vì điều này có nguy cơ xảy ra cuộc tấn công Man-In-The-Middle (MITM).

Đây là những bước đơn giản nhưng phần lớn hiệu quả trong việc giữ an toàn cho người dùng. Javvad Malik , Người ủng hộ bảo mật tại Alienware, cho rằng đó là một bước đi đúng hướng nhưng lưu ý rằng thách thức lớn nhất trong việc giữ an toàn cho người dùng là vấn đề giáo dục.

'Việc phân biệt giữa phần mềm tốt và phần mềm xấu ngày càng trở nên khó khăn. Để diễn giải, một phần mềm hợp pháp của một người lại là một loại vi-rút độc hại đánh cắp danh tính, xâm phạm quyền riêng tư khác được mã hóa trong ruột của địa ngục. chưa bao giờ được công khai để bắt đầu. Nhưng thách thức trong tương lai đối với các công ty như Google là kiểm soát các tiện ích mở rộng và xác định giới hạn của hành vi có thể chấp nhận được. Một cuộc trò chuyện vượt ra ngoài phạm vi bảo mật hoặc công nghệ và một câu hỏi cho xã hội sử dụng internet nói chung. '

Mục đích của Google là đảm bảo rằng người dùng được thông báo về những rủi ro liên quan đến việc cài đặt plugin trình duyệt. Mỗi tiện ích mở rộng trên Google Chrome App Store đều rõ ràng về các quyền cần thiết và không được vượt quá các quyền bạn cấp cho nó. Nếu tiện ích mở rộng yêu cầu thực hiện những điều có vẻ bất thường, thì bạn có lý do để nghi ngờ.

Nhưng đôi khi, như tất cả chúng ta đều biết, phần mềm độc hại sẽ lọt qua.

cách xóa lịch sử thanh tìm kiếm của google

Khi Google hiểu sai

Google, đáng ngạc nhiên, giữ một con tàu khá chặt chẽ. Không có nhiều thứ vượt qua đồng hồ của họ, ít nhất là khi nói đến Cửa hàng Google Chrome trực tuyến. Tuy nhiên, khi có điều gì đó xảy ra, thì đó là điều tồi tệ.

  • AddToFeedly là một plugin của Chrome cho phép người dùng thêm trang web vào đăng ký trình đọc Feedly RSS của họ. Nó bắt đầu cuộc sống như một sản phẩm hợp pháp được phát hành bởi một nhà phát triển có sở thích , nhưng đã được mua với giá bốn con số vào năm 2014. Các chủ sở hữu mới sau đó đã gắn plugin với phần mềm quảng cáo SuperFish, phần mềm này đã đưa quảng cáo vào các trang và tạo ra các cửa sổ bật lên. SuperFish đã trở nên nổi tiếng vào đầu năm nay khi hãng Lenovo đã bán nó cùng với tất cả các máy tính xách tay Windows cấp thấp của họ.
  • Ảnh chụp màn hình trang Web cho phép người dùng chụp toàn bộ trang web mà họ đang truy cập và đã được cài đặt trên hơn 1 triệu máy tính. Tuy nhiên, nó cũng đang truyền thông tin người dùng đến một địa chỉ IP duy nhất ở Hoa Kỳ. Chủ sở hữu của Ảnh chụp màn hình trang Web đã phủ nhận bất kỳ hành vi sai trái nào và khẳng định đó là một phần trong các hoạt động đảm bảo chất lượng của họ. Google đã xóa nó khỏi Cửa hàng Chrome trực tuyến.
  • Thêm vào Google Chrome là một tiện ích mở rộng lừa đảo chiếm đoạt tài khoản Facebook và chia sẻ các trạng thái, bài đăng và ảnh trái phép. Phần mềm độc hại đã được phát tán qua một trang web bắt chước YouTube và yêu cầu người dùng cài đặt plugin để xem video. Google đã loại bỏ plugin này.

Cho rằng hầu hết mọi người sử dụng Chrome để thực hiện phần lớn công việc tính toán của họ, điều đáng lo ngại là các plugin này đã vượt qua được các vết nứt. Nhưng ít nhất đã có một thủ tục thất bại. Khi bạn cài đặt tiện ích mở rộng từ nơi khác, bạn không được bảo vệ.

Giống như người dùng Android có thể cài đặt bất kỳ ứng dụng nào họ muốn, Google cho phép bạn cài đặt bất kỳ tiện ích mở rộng nào của Chrome mà bạn muốn, kể cả những tiện ích mở rộng không đến từ Cửa hàng Chrome trực tuyến. Điều này không chỉ để cung cấp cho người tiêu dùng thêm một chút lựa chọn, mà còn cho phép các nhà phát triển kiểm tra mã mà họ đang làm việc trước khi gửi đi để phê duyệt.

Tuy nhiên, điều quan trọng cần nhớ là bất kỳ tiện ích mở rộng nào được cài đặt theo cách thủ công đều không trải qua quy trình kiểm tra nghiêm ngặt của Google và có thể chứa tất cả các loại hành vi không mong muốn.

Bạn gặp rủi ro như thế nào?

Vào năm 2014, Google đã vượt qua Internet Explorer của Microsoft để trở thành trình duyệt web thống trị và hiện đại diện cho gần 35% người dùng Internet. Do đó, đối với bất kỳ ai muốn kiếm tiền nhanh hoặc phát tán phần mềm độc hại, nó vẫn là một mục tiêu hấp dẫn.

Google, phần lớn, đã có thể đối phó. Đã có những sự cố, nhưng chúng đã bị cô lập. Khi phần mềm độc hại vượt qua được, họ đã xử lý nó một cách nhanh chóng và với sự chuyên nghiệp mà bạn mong đợi từ Google.

Tuy nhiên, rõ ràng là các tiện ích mở rộng và plugin là một vectơ tấn công tiềm ẩn. Nếu bạn đang lên kế hoạch thực hiện bất kỳ điều gì nhạy cảm như đăng nhập vào ngân hàng trực tuyến của mình, bạn có thể muốn làm điều đó trong một trình duyệt riêng biệt, không có plugin hoặc cửa sổ ẩn danh. Và nếu bạn có bất kỳ tiện ích mở rộng nào được liệt kê ở trên, hãy nhập chrome: // extensions / trong thanh địa chỉ Chrome của bạn, sau đó tìm và xóa chúng, chỉ để an toàn.

Bạn đã bao giờ vô tình cài đặt một số phần mềm độc hại trên Chrome chưa? Sống để kể câu chuyện? Tôi muốn nghe về nó. Hãy để cho tôi một bình luận bên dưới, và chúng ta sẽ trò chuyện.

Tín dụng hình ảnh: Búa trên kính vỡ Qua Shutterstock

Đăng lại Đăng lại tiếng riu ríu E-mail Dark Web so với Deep Web: Sự khác biệt là gì?

Dark web và deep web thường bị nhầm lẫn là một và giống nhau. Nhưng không phải vậy, vậy sự khác biệt là gì?

Đọc tiếp Chủ đề liên quan
  • Các trình duyệt
  • Bảo vệ
  • Google Chrome
  • Bảo mật trực tuyến
Giới thiệu về tác giả Matthew Hughes(Đã xuất bản 386 bài báo)

Matthew Hughes là nhà phát triển và nhà văn phần mềm đến từ Liverpool, Anh. Anh ấy hiếm khi được tìm thấy mà không có một tách cà phê đen đậm đà trên tay và hoàn toàn yêu thích Macbook Pro và máy ảnh của anh ấy. Bạn có thể đọc blog của anh ấy tại http://www.matthewhughes.co.uk và theo dõi anh ấy trên twitter tại @matthewhughes.

Xem thêm từ Matthew Hughes

Theo dõi bản tin của chúng tôi

Tham gia bản tin của chúng tôi để biết các mẹo công nghệ, đánh giá, sách điện tử miễn phí và các ưu đãi độc quyền!

Bấm vào đây để đăng ký