Quão segura é a Chrome Web Store?

Quão segura é a Chrome Web Store?

Cerca de 33% de todos os usuários do Chromium têm algum tipo de plugin de navegador instalado. Em vez de ser um nicho, tecnologia de ponta usada exclusivamente por usuários avançados, os complementos são positivamente populares, com a maioria vindo da Chrome Web Store e do Firefox Add-Ons Marketplace.





Mas eles são seguros?



De acordo com a pesquisa devido a ser apresentado no Simpósio IEEE sobre Segurança e Privacidade, a resposta é não muito . O estudo financiado pelo Google descobriu que dezenas de milhões de usuários do Chrome têm alguma variedade de malware baseado em add-on instalado, o que representa 5% do tráfego total do Google.





A pesquisa resultou em quase 200 plug-ins sendo apagados da Chrome App Store e questionou a segurança geral do mercado.

Então, o que o Google está fazendo para nos manter seguros e como você pode identificar um complemento desonesto? Eu descobri.



De onde vêm os add-ons

Chame-os como quiser - extensões do navegador, plug-ins ou add-ons - todos vêm do mesmo lugar. Desenvolvedores independentes de terceiros que produzem produtos que consideram atender a uma necessidade ou resolver um problema.

Os complementos do navegador geralmente são escritos usando tecnologias da web, como HTML, CSS e JavaScript, e geralmente são construídos para um navegador específico, embora existam alguns serviços de terceiros que facilitam a criação de plug-ins de navegador de plataforma cruzada.



Depois que um plugin atinge o nível de conclusão e é testado, ele é liberado. É possível distribuir um plugin de forma independente, embora a grande maioria dos desenvolvedores opte por distribuí-los através das lojas de extensões do Mozilla, Google e Microsoft.

Embora, antes mesmo de tocar o computador de um usuário, deve ser testado para garantir que é seguro para uso. É assim que funciona na App Store do Google Chrome.



Mantendo o Chrome seguro

Desde o envio da prorrogação, até a sua eventual publicação, a espera é de 60 minutos. o que acontece aqui? Bem, nos bastidores, o Google está se certificando de que o plugin não contém nenhuma lógica maliciosa, ou qualquer coisa que possa comprometer a privacidade ou segurança dos usuários.

Esse processo é conhecido como 'Validação de item aprimorada' (IEV) e é uma série de verificações rigorosas que examinam o código de um plugin e seu comportamento quando instalado, a fim de identificar malware.

O Google também publicou um 'guia de estilo' do tipo que informa aos desenvolvedores quais comportamentos são permitidos e desencoraja expressamente os outros. Por exemplo, é proibido usar JavaScript embutido - JavaScript que não está armazenado em um arquivo separado - para reduzir o risco contra ataques de script entre sites.

O Google também desencoraja fortemente o uso de 'eval', que é uma construção de programação que permite que o código execute código e pode apresentar todos os tipos de riscos de segurança. Eles também não gostam muito de plug-ins que se conectem a serviços remotos que não sejam do Google, pois isso representa o risco de um ataque Man-In-The-Middle (MITM).

Essas são etapas simples, mas em sua maioria eficazes para manter os usuários seguros. Javvad Malik , Advogado de segurança da Alienware, acha que é um passo na direção certa, mas observa que o maior desafio para manter os usuários seguros é uma questão de educação.

'Fazer a distinção entre software bom e mau está se tornando cada vez mais difícil. Parafraseando, o software legítimo de um homem é outro vírus malicioso que rouba identidade e compromete a privacidade, codificado nas entranhas do inferno. Não me interpretem mal, congratulo-me com a iniciativa do Google de remover essas extensões maliciosas - algumas delas deveriam nunca foram tornados públicos para começar. Mas o desafio futuro para empresas como o Google é policiar as extensões e definir os limites do que é um comportamento aceitável. Uma conversa que vai além de segurança ou tecnologia e uma questão para a sociedade usuária da Internet em geral. '

O Google visa garantir que os usuários sejam informados sobre os riscos associados à instalação de plug-ins de navegador. Cada extensão na Google Chrome App Store é explícita sobre as permissões necessárias e não pode exceder as permissões que você concedeu. Se um ramal está pedindo para fazer coisas que parecem incomuns, você tem motivos para suspeitar.

Mas, ocasionalmente, como todos sabemos, o malware passa despercebido.

como iniciar uma seqüência no sc

Quando o Google dá errado

O Google, surpreendentemente, mantém um navio bem fechado. Não há muita coisa que passa despercebida, pelo menos no que diz respeito à Google Chrome Web Store. Quando algo acontece, entretanto, é ruim.

  • AddToFeedly era um plug-in do Chrome que permitia aos usuários adicionar um site às suas assinaturas do leitor RSS do Feedly. Começou a vida como um produto legítimo lançado por um desenvolvedor amador , mas foi comprado por uma soma de quatro dígitos em 2014. Os novos proprietários então adicionaram o plug-in ao adware SuperFish, que injetava publicidade nas páginas e gerava pop-ups. O SuperFish ganhou notoriedade no início deste ano, quando soube que a Lenovo o estava enviando com todos os seus laptops Windows de baixo custo.
  • Captura de tela da página da web permite que os usuários capturem uma imagem completa de uma página da web que estão visitando e foi instalada em mais de 1 milhão de computadores. No entanto, também tem transmitido informações do usuário a um único endereço IP nos Estados Unidos. Os proprietários do WebPage Screenshot negaram qualquer irregularidade e insistem que isso fazia parte de suas práticas de garantia de qualidade. Desde então, o Google o removeu da Chrome Web Store.
  • Adicionar Ao Google Chrome was a rogue extension that sequestrou contas do Facebook e compartilhou status, postagens e fotos não autorizados. O malware foi espalhado por um site que imitava o YouTube e dizia aos usuários para instalar o plug-in para assistir aos vídeos. Desde então, o Google removeu o plug-in.

Dado que a maioria das pessoas usa o Chrome para fazer a maior parte de sua computação, é preocupante que esses plug-ins conseguiram escapar. Mas pelo menos havia um procedimento falhar. Quando você instala extensões de outro lugar, você não está protegido.

Assim como os usuários do Android podem instalar qualquer aplicativo que desejarem, o Google permite que você instale qualquer extensão do Chrome que desejar, incluindo aquelas que não vêm da Chrome Web Store. Isso não é apenas para dar aos consumidores um pouco mais de escolha, mas para permitir que os desenvolvedores testem o código em que estão trabalhando antes de enviá-lo para aprovação.

No entanto, é importante lembrar que qualquer extensão instalada manualmente não passou pelos rigorosos procedimentos de teste do Google e pode conter todos os tipos de comportamento indesejável.

Como você está em risco?

Em 2014, o Google ultrapassou o Internet Explorer da Microsoft como o navegador dominante e agora representa quase 35% dos usuários da Internet. Como resultado, para quem quer ganhar dinheiro rápido ou distribuir malware, ele continua sendo um alvo tentador.

O Google, na maior parte, tem sido capaz de lidar com isso. Houve incidentes, mas eles foram isolados. Quando o malware consegue escapar, eles lidam com isso com agilidade e com o profissionalismo que você espera do Google.

No entanto, está claro que extensões e plug-ins são um vetor de ataque em potencial. Se você está planejando fazer algo sigiloso, como fazer login em seu banco on-line, talvez queira fazer isso em um navegador separado, sem plug-in ou em uma janela anônima. E se você tiver qualquer uma das extensões listadas acima, digite chrome: // extensions / na barra de endereço do Chrome, localize e exclua-os, apenas por segurança.

Você já instalou acidentalmente algum malware do Chrome? Viva para contar a história? Eu quero ouvir sobre isso. Deixe-me um comentário abaixo e conversaremos.

Créditos de imagem: Martelo em vidro estilhaçado Via Shutterstock

Compartilhado Compartilhado Tweet O email Dark Web vs. Deep Web: Qual é a diferença?

A dark web e a deep web são freqüentemente confundidas com a mesma coisa. Mas não é esse o caso, então qual é a diferença?

Leia a seguir Tópicos relacionados
  • Navegadores
  • Segurança
  • Google Chrome
  • Segurança Online
Sobre o autor Matthew Hughes(386 artigos publicados)

Matthew Hughes é desenvolvedor e escritor de software de Liverpool, Inglaterra. Ele raramente é encontrado sem uma xícara de café forte na mão e adora seu Macbook Pro e sua câmera. Você pode ler seu blog em http://www.matthewhughes.co.uk e segui-lo no twitter em @matthewhughes.

Mais de Matthew Hughes

Assine a nossa newsletter

Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!

Clique aqui para se inscrever