Popüler Chrome uzantıları ne kadar büyük bir risk taşır?

20

Chromium'a geçmek üzereyim ve birkaç uzantı yükledim. Bir uzantı yüklediğimde, uzantının hangi verilere erişebileceği konusunda bilgilendirildim, örneğin:

resim açıklamasını buraya girin

Uzantının çalışması için bu verilere erişimin gerekli olduğunu anlıyorum, ancak böyle bir uzantının bir gün tüm tarama verilerimi güncellemeye ve çalmaya ("telefon ana") karar vereceğinden biraz endişeliyim.

Korkunç bir mesajın başka bir örneği (gizli pencereler için uzantıları etkinleştirirken):

Uyarı: Chromium, uzantıların tarama geçmişinizi kaydetmesini engelleyemez. Bu uzantıyı gizli modda devre dışı bırakmak için bu seçeneğin işaretini kaldırın.

Popüler Chrome uzantılarını kullanırken bu olası bir tehdit mi? Tarayıcıya eklediğiniz her yeni işlev için başka bir tarafa güvenmek biraz korkutucu.

security  google-chrome-extensions 
htorque
kaynak
Stack Overflow ile ilgili bir soru: stackoverflow.com/questions/249106/…
LeopardSkinPillBoxHat

Yanıtlar:

25

Aşağıdakileri unutuyorsunuz:

Bir uzantı ne kadar popüler olursa, hiç kimsenin eklentinin zararlı bir şey yaptığını fark etme şansı o kadar küçük olur.

Bunun aksine, daha önce kimsenin kullanmadığı bir uzantı yüklerseniz, diyelim ki AdBlock'u yüklemekten daha fazla risk alıyorsunuz. Pek çok insanın bunu kullandığını düşünürsek, şunu söylemek neredeyse güvenlidir: Birisi alışılmadık trafiği fark ederdi.

Aslında, tüm uzantılar kaynak kodlarını açıklar, böylece herkes temel olarak devam edebilir ve şüpheli herhangi bir şeyi arayabilir.

Uyarılar sadece oradadır, bu nedenle verilerinizle ilgili hileli bir şey yüklerseniz tarayıcı satıcılarını herhangi bir hasar için suçlayamazsınız. Yüklemeden önce daima şüpheli görünen eklentilerin yorumlarını okuyun.

Ayrıca, örneğin Google'ın gönderimleri kontrol edebileceğini de unutmayın:

Google, Ürünleri veya içeriklerini izlemekle yükümlü olmasa da, Google, Ürünlerinizi ve kaynak kodlarını bu Sözleşme, Google Chrome Web Mağazası Program Politikaları ve yürürlükteki diğer tüm şartlar, yükümlülükler, yasalar açısından inceleyebilir veya test edebilir veya yönetmeliklere tabidir ve bu incelemeyi yapmak için otomatik araçlar kullanabilir

Bir uzantının kaldırılması elbette geliştirici için bazı sorunlara neden olabilir.

slhck
kaynak
2
Yani uzantıları olabilir toplamak ve benim verileri geri göndermek, ancak kaynak kodu kamuya açık olduğu gibi popüler olanlarla olasılığı düşüktür.
htorque
1
@htorque Bir uzantı bunu yapabilirdi, evet - ama şeylerin doğası göz önüne alındığında, dikkat edilecek daha fazla insan varsa, kötü bir şey olma şansı daha düşüktür.
slhck
3
Verilerini sunucularına geri göndermelerinin "meşru" nedenleri olabilir. Bu durumda, birileri yaptığını öğrenirse büyük haber olması pek olası değildir.
Stefano Palazzo
1
@Stefano Tabii ki doğru. Hey, bazı uzantılar bu olmadan bile çalışmayacaktı.
slhck
1
Evet, daha fazla göz genellikle daha iyidir. Ne yazık ki, aynı zamanda ne kadar çok insan kullanırsa, başkalarının onu kontrol etmeye özen göstereceğini ve kendileri yapamayacağını daha fazla kabul edeceği anlamına gelir, bu da şişirilmiş ve yapay bir güvenlik hissi ile sonuçlanır. :-(
Synetech
9

Yapmaya çalışmak zor bir risk değerlendirmesi. Popülerlik iki şey getirir:

  • Geliştirmeye çalışan daha fazla kişi (kötü kodu tespit ederek)
  • Daha büyük bir kullanıcı tabanına saldırmak için daha fazla kişi onu hacklemeye çalışıyor (ve kötü kod getiriyor)

Bu örnekler için, github gibi bir şeyde barındırılan kod içeren açık kaynaklı bir projeden bahsettiğimizi varsayalım.

Bir şeyin bir geliştiricisi varsa, bu sadece bir kişi kodu kontrol eder. Birisi (geliştirici değil) buna kod eklemek isterse, geliştiriciyi kötü amaçlı bir yama eklemek için kandırması (olur) veya kodu kendileri ekleyebilmeleri için geliştiricinin kimlik doğrulamasını hedeflemesi gerekir (ayrıca olur). Bunlardan herhangi birinin gerçekleşme şansı, geliştiricinin yeteneğine ve güvenliklerine bağlıdır.

10 geliştirici varsa, saldırı vektörlerinden 10 kat daha fazladır. Ama aynı zamanda 10 kat daha fazla insan kodu tespit edebilir.

Eminim bir projede insanların kodlarında düzenli güvenlik denetimleri yapmaları için yeterli ivme kazanacak bir nokta vardır. Ama ondan önce herhangi bir zamanda, salıncaklar ve kavşaklar.

tl; dr Gerçekçi çalışmak için çok zor. Çok fazla insan unsuru var. Önemliyse, kodu kendiniz doğrulayamadıkça ona güvenmeyin.

Oli
kaynak
+1, ayrıca çok güzel bir açıklama.
slhck
2
Zaten yüzlerce çekirdek korsanına güveniyorum ... fare hareketi desteği gibi basit tarayıcı işlevleri için ek üçüncü taraflara güven yatırmak sadece garip (neden böyle bir uzantı ilk etapta dış dünyayla iletişim kurma olasılığına sahip? ?).
htorque
Oli'nin ikinci noktası, Linux ve Mac kullanıcılarının platformlarının Windows için daha üstün ve daha güvenli olma konusunda ısrar etmelerinin neden yanlış olduğudur. Çoğu bilgisayar korsanı Linux veya Mac'i hacklemekten rahatsız olmaz çünkü bunu yapmak için yeterli ödül yoktur. Eğer olsaydı, istismar sayısı patlayabilirdi (belki de Windows kadar yüksek değil , ama yine de ...) Uzantılar da dahil olmak üzere herhangi bir yazılımla aynı . Ne kadar popüler olursa, onu kesmek için o kadar teşvik edilir. (Sadece artan sayıdaki Facebook / Twitter / etc
hack'lerine bakın
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.