Seberapa amankah Toko Web Chrome itu?

Iklan

Sekitar 33% dari semua pengguna Chromium memasang beberapa jenis plugin browser. Alih-alih menjadi ceruk, teknologi terdepan yang digunakan secara eksklusif oleh pengguna yang berkuasa, add-on secara positif menjadi arus utama, dengan mayoritas berasal dari Toko Web Chrome dan Firefox Add-Ons Marketplace.

Tapi seberapa aman mereka?

Menurut penelitian karena akan disajikan di Simposium IEEE tentang Keamanan dan Privasi, jawabannya adalah tidak terlalu. Studi yang didanai Google menemukan bahwa puluhan juta pengguna Chrome memasang beberapa jenis malware berbasis add-on, yang mewakili 5% dari total lalu lintas Google.

Penelitian ini menghasilkan hampir 200 plugin yang dihapus dari Chrome App Store, dan mempertanyakan keamanan keseluruhan pasar.

Jadi, apa yang Google lakukan untuk menjaga kami tetap aman, dan bagaimana Anda bisa menemukan pengaya yang nakal? Saya menemukan.

Dari mana Pengaya Datang

Sebut apa saja yang Anda mau - ekstensi browser, plugins, atau add-on - semuanya berasal dari tempat yang sama. Pengembang pihak ketiga yang independen menghasilkan produk yang mereka rasa melayani kebutuhan, atau menyelesaikan masalah.

Pengaya peramban umumnya ditulis menggunakan teknologi web, seperti HTML, CSS, dan JavaScript Apa itu JavaScript, Dan Bisakah Internet Ada Tanpa Itu?JavaScript adalah salah satu dari banyak hal yang diterima begitu saja. Semua orang menggunakannya. Baca lebih banyak , dan biasanya dibangun untuk satu browser tertentu, meskipun ada beberapa layanan pihak ketiga yang memfasilitasi pembuatan plugin browser lintas platform.

Setelah plugin mencapai tingkat penyelesaian dan diuji, plugin tersebut akan dirilis. Dimungkinkan untuk mendistribusikan plugin secara mandiri, meskipun sebagian besar pengembang memilih untuk mendistribusikannya melalui Mozilla, Google dan toko ekstensi Microsoft.

Meskipun, sebelum menyentuh komputer pengguna, ia harus diuji untuk memastikan bahwa itu aman untuk digunakan. Begini cara kerjanya di Google Chrome App Store.

Menjaga Keamanan Chrome

Dari pengajuan ekstensi, hingga publikasi akhirnya, ada 60 menit menunggu. Apa yang terjadi di sini? Nah, di balik layar, Google memastikan bahwa plugin tersebut tidak mengandung logika jahat, atau apa pun yang dapat membahayakan privasi atau keamanan pengguna.

Proses ini dikenal sebagai 'Validasi Item yang Ditingkatkan' (IEV), dan merupakan serangkaian pemeriksaan ketat yang memeriksa kode plugin dan perilakunya ketika diinstal, untuk mengidentifikasi malware.

Google juga menerbitkan 'panduan gaya' jenis yang memberi tahu pengembang perilaku apa yang diizinkan, dan secara tegas mengecilkan orang lain. Misalnya, dilarang menggunakan JavaScript sebaris - JavaScript yang tidak disimpan dalam file terpisah - untuk mengurangi risiko terhadap serangan skrip lintas situs Apa itu Cross-Site Scripting (XSS), & Mengapa Itu Adalah Ancaman KeamananKerentanan skrip lintas-situs adalah masalah keamanan situs web terbesar saat ini. Penelitian telah menemukan bahwa itu sangat umum - 55% situs web berisi kerentanan XSS pada 2011, menurut laporan terbaru White Hat Security, dirilis pada Juni ... Baca lebih banyak .

Google juga sangat tidak menyarankan penggunaan 'eval', yang merupakan konstruksi pemrograman yang memungkinkan kode untuk mengeksekusi kode, dan dapat memperkenalkan segala macam risiko keamanan. Mereka juga tidak terlalu tertarik pada plugin yang menghubungkan ke layanan non-Google jarak jauh, karena hal ini menimbulkan risiko Serangan Man-In-The-Middle (MITM) Apa itu Serangan Manusia-di-Tengah? Jargon Keamanan DijelaskanJika Anda pernah mendengar tentang serangan "man-in-the-middle" tetapi tidak yakin apa artinya itu, ini adalah artikel untuk Anda. Baca lebih banyak .

Ini adalah langkah-langkah sederhana, tetapi sebagian besar efektif menjaga keamanan pengguna. Javvad Malik, Security Advocate at Alienware, menganggap ini sebagai langkah ke arah yang benar tetapi mencatat bahwa tantangan terbesar dalam menjaga keamanan pengguna adalah masalah pendidikan.

“Membuat perbedaan antara perangkat lunak baik dan buruk menjadi semakin sulit. Singkatnya, satu perangkat lunak yang sah untuk satu orang adalah virus jahat lain yang mencuri identitas, yang mengkompromikan privasi yang dikodekan dalam perut neraka.

“Jangan salah, saya menyambut baik langkah Google untuk menghapus ekstensi berbahaya ini - beberapa di antaranya seharusnya tidak pernah dipublikasikan untuk memulainya. Tetapi tantangan ke depan bagi perusahaan seperti Google adalah menjaga ekstensi dan menetapkan batas-batas perilaku yang dapat diterima. Percakapan yang melampaui keamanan atau teknologi dan pertanyaan untuk masyarakat pengguna internet pada umumnya. "

Google bertujuan untuk memastikan bahwa pengguna mendapat informasi tentang risiko yang terkait dengan pemasangan plugin browser. Setiap ekstensi di Google Chrome App Store secara eksplisit tentang izin yang diperlukan, dan tidak dapat melebihi izin yang Anda berikan. Jika seorang ekstensi meminta untuk melakukan hal-hal yang tampaknya tidak biasa, Anda kemudian memiliki alasan untuk dicurigai.

Tapi kadang-kadang, seperti kita ketahui, malware masuk.

Ketika Google Mendapat Itu Salah

Google, secara mengejutkan, menjaga kapal tetap ketat. Tidak banyak yang lolos dari arloji mereka, paling tidak ketika datang ke Google Chrome Web Store. Namun, ketika sesuatu terjadi, itu buruk.

• AddToFeedly adalah plugin Chrome yang memungkinkan pengguna untuk menambahkan situs web ke situs web mereka Pembaca RSS Feedly Feedly, diulas: Apa yang membuatnya menjadi pengganti Google Reader yang populer?Sekarang Google Reader hanyalah memori yang jauh, perjuangan untuk masa depan RSS benar-benar aktif. Salah satu produk yang paling terkenal melawan perjuangan yang baik adalah Feedly. Pustaka Google bukan ... Baca lebih banyak langganan. Ini memulai hidup sebagai produk yang sah dirilis oleh pengembang penghobi, tetapi dibeli dengan jumlah empat angka pada tahun 2014. Pemilik baru kemudian memasang plugin dengan adware SuperFish, yang menyuntikkan iklan ke halaman dan muncul pop-up. SuperFish mendapatkan ketenaran awal tahun ini ketika itu terjadi Lenovo telah mengirimkannya dengan semua laptop Windows kelas atas Waspadai Pemilik Laptop Lenovo: Perangkat Anda Mungkin Telah Memasang MalwarePabrikan komputer China Lenovo telah mengakui bahwa laptop yang dikirim ke toko-toko dan konsumen pada akhir tahun 2014 telah terinstal malware. Baca lebih banyak .
• Tangkapan Layar WebPage memungkinkan pengguna untuk mengambil gambar keseluruhan halaman web yang mereka kunjungi, dan telah diinstal pada lebih dari 1 juta komputer. Namun, itu juga telah mengirimkan informasi pengguna ke satu alamat IP di Amerika Serikat. Pemilik Screenshot WebPage telah membantah melakukan kesalahan, dan bersikeras itu adalah bagian dari praktik jaminan kualitas mereka. Google sejak itu menghapusnya dari Toko Web Chrome.
• Adicionar Ao Google Chrome adalah ekstensi nakal itu membajak akun Facebook 4 Hal Yang Harus Dilakukan Segera Ketika Akun Facebook Anda DiretasJika Anda mencurigai bahwa akun Facebook Anda telah diretas, inilah yang harus dilakukan untuk mencari tahu dan mendapatkan kembali kendali. Baca lebih banyak , dan membagikan status, pos, dan foto yang tidak sah. Malware itu menyebar melalui situs yang meniru YouTube, dan menyuruh pengguna memasang plugin untuk menonton video. Google telah menghapus plugin tersebut.

Mengingat sebagian besar orang menggunakan Chrome untuk melakukan sebagian besar komputasi mereka, itu mengganggu bahwa plugin ini berhasil lolos dari keretakan. Tapi setidaknya ada prosedur gagal. Saat Anda memasang ekstensi dari tempat lain, Anda tidak terlindungi.

Sama seperti pengguna Android dapat menginstal aplikasi apa pun yang mereka inginkan, Google memungkinkan Anda pasang ekstensi Chrome apa pun yang Anda inginkan Cara Memasang Ekstensi Chrome Secara ManualGoogle baru-baru ini memutuskan untuk menonaktifkan instalasi ekstensi Chrome dari situs web pihak ketiga, tetapi beberapa pengguna masih ingin menginstal ekstensi ini. Begini cara melakukannya. Baca lebih banyak , termasuk yang tidak berasal dari Toko Web Chrome. Ini bukan hanya untuk memberi konsumen sedikit pilihan ekstra, tetapi untuk memungkinkan pengembang menguji kode yang telah mereka kerjakan sebelum mengirimkannya untuk persetujuan.

Namun, penting untuk diingat bahwa ekstensi apa pun yang dipasang secara manual belum melalui prosedur pengujian ketat Google, dan dapat berisi segala macam perilaku yang tidak diinginkan.

Bagaimana Berisiko Apakah Anda?

Pada tahun 2014, Google mengambil alih Microsoft Internet Explorer sebagai browser web yang dominan, dan sekarang mewakili hampir 35% pengguna Internet. Akibatnya, bagi siapa pun yang mencari uang cepat atau mendistribusikan malware, itu tetap menjadi target yang menggoda.

Google, sebagian besar, telah mampu mengatasinya. Ada beberapa insiden, tetapi sudah diisolasi. Ketika malware berhasil lolos, mereka akan menanganinya dengan bijaksana, dan dengan profesionalisme yang Anda harapkan dari Google.

Namun, jelas bahwa ekstensi dan plugin adalah vektor serangan potensial. Jika Anda berencana melakukan hal sensitif seperti masuk ke perbankan online Anda, Anda mungkin ingin melakukannya di peramban terpisah tanpa plugin atau jendela penyamaran. Dan jika Anda memiliki ekstensi yang tercantum di atas, ketik chrome: // extensions / di bilah alamat Chrome Anda, lalu temukan dan hapus, hanya untuk aman.

Pernahkah Anda menginstal beberapa malware Chrome secara tidak sengaja? Tinggal menceritakan kisahnya? Saya ingin mendengarnya. Berikan saya komentar di bawah, dan kami akan mengobrol.

Kredit Gambar: Palu pada kaca yang hancur Melalui Shutterstock