Před instalací ověřte rozšíření Google Chrome
- Kategorie: Google Chrome
Rozšíření Google Chrome mohou rozšířit funkčnost webového prohlížeče nebo usnadnit život při procházení webu. I když je tomu tak, mohou je společnosti také zneužívat ke sledování uživatelů na internetu, zobrazování reklamy nebo stahování škodlivého kódu do uživatelského systému.
Tento článek poskytuje prostředky k ověření rozšíření Chrome před jejich instalací. Je důležité to provést před instalací rozšíření do prohlížeče, protože po instalaci může být již pozdě.
I když můžete nastavit testovací prostředí pro rozšíření prohlížeče, například v karanténě a pomocí monitoru síťového provozu, jako je Wireshark, nemusí být ve skutečnosti většina uživatelů spokojená.
Část 0: Tomu byste neměli věřit
Internetový obchod Chrome se může zdát jako zabezpečené místo pro všechny vaše potřeby rozšíření, ale není. Google používá automatické kontroly, které rozšiřují skenování, která vývojáři nahrávají do obchodu. Tyto kontroly zachycují některé, ale ne všechny, formy invazivních nebo přímo škodlivých funkcí.
Trend Micro objevil například škodlivá rozšíření prohlížeče v oficiálním internetovém obchodě v roce 2014 a není to jediná společnost, která tak učinila.
Běžnou metodou používanou rozšířeními k předání všech bezpečnostních kontrol je zahrnutí skriptu, který načte škodlivé užitečné zatížení.
Samotné rozšíření neobsahuje při odeslání do internetového obchodu Chrome. Rozšíření tedy prochází kontrolou a je přidáno do obchodu, kde si jej mohou stáhnout všichni uživatelé prohlížeče Chrome.
Máte-li zájem o jeden ošklivý nedávný příklad, podívejte se na malware v prohlížeči článek Maxime Kjear.
Popis je vytvořen vývojářem rozšíření, a proto jej nelze bez ověření důvěřovat.
Komentáře uživatelů mohou zvýraznit problematická rozšíření, ale není tomu tak vždy. Nelze jim proto ani v tomto ohledu důvěřovat bez ověření.
V neposlední řadě byste neměli slepě důvěřovat doporučením nebo nabízet instalaci rozšíření, protože je to pro něco potřeba nebo inzerováno.
Část 1: Popis
Mnoho rozšíření, která používají analytiku, měření prokliků, sledování vaší historie procházení a další sledovací formuláře, zdůrazňuje skutečnost v popisu rozšíření.
Tento první pohled možná neuvidíte, protože Google v obchodě upřednostňuje styl před podstatou. Pole popisu je malé a pro přečtení všeho často potřebujete rolování.
Podívejte se na populární Úžasné Screenshot rozšíření například. Vypadá legitimně v pořádku? Spousta pozitivních recenzí, více než 580 000 uživatelů.
Pokud si uděláte čas a posouváte se popisem, nakonec narazíte na následující pasáž:
Použití rozšíření prohlížeče Awesome Screenshot vyžaduje udělení oprávnění k zachycení anonymizovaných dat kliknutí.
Chcete další příklad? A co Hover Zoom, rozšíření s více než 1,2 miliony uživatelů, které bylo v minulosti kritizováno za sledování integrace? Přejděte dolů a najdete ..
Aplikace Hover Zoom vyžaduje, aby uživatelé rozšíření udělili oprávnění Hover Zoom ke shromažďování aktivit procházení, které mají být použity interně a sdíleny s třetími stranami, a to vše pro použití na anonymní a agregované bázi pro účely výzkumu
Flash Player + je další rozšíření, které ve svém popisu zdůrazňuje, že zaznamenává data a sdílí je s třetími stranami.
Aby byl tento software neustále podporován a vylepšován, uživatelé, kteří jej instalují, povolují společnosti Fairshare shromažďovat a sdílet informace o nich a jejich aktivitách v používání webu s třetími stranami pro obchodní a výzkumné účely.
Rychlý způsob, jak najít tato rozšíření, je vyhledat fráze použité v těchto popisech. Například při hledání výjimky je mnoho z nich ve výsledcích vyhledávání (vedle legitimních rozšíření). Mnozí používají stejný popis, což znamená, že vyhledávání výrazu „shromažďovat a sdílet informace o nich“ odhalí rozšíření, která například používají tento druh sledování.
Část 2: Přímé informace
Následující informace se zobrazují na stránce profilu rozšíření v Internetovém obchodě Chrome:
Společnost nebo jednotlivec, který ji vytvořil / nabízí.
Souhrnné hodnocení a počet uživatelů, kteří jej ohodnotili.
Celkový počet uživatelů.
Poslední aktualizované datum.
Verze.
Tyto informace vám poskytují vodítka, ale nestačí k posouzení prodloužení. Mnohé mohou být například falešné nebo nafouknuté.
Google neposkytne odkaz na všechna rozšíření společnosti nebo jednotlivce a není možné získat ověření.
I když můžete použít hledání k nalezení dalších rozšíření od společnosti nebo jednotlivce, neexistuje žádná záruka, že výsledky budou všechny uvedeny.
Část 3: Oprávnění
Obvykle není možné určit, zda je rozšíření legitimní, sledovat vás nebo přímo škodlivé na základě oprávnění, která požaduje sama.
Existují však ukazatele toho. Pokud například rozšíření, které vylepšuje požadavky Facebooku na „čtení a změnu všech vašich dat na navštívených webech“, může dojít k závěru, že byste raději na základě toho rozšíření neměli nainstalovat. Protože by to mělo fungovat pouze na Facebooku, není třeba mu dávat dalekosáhlá oprávnění k prohlížení a manipulaci s údaji na všech webech.
Toto je pouze indikátor, ale pokud používáte zdravý rozum, můžete se vyhnout instalaci problematických rozšíření. Obvykle je k dispozici alternativa, která nabízí podobnou funkčnost, ale bez rozsáhlých požadavků na povolení.
Možná budete chtít zkontrolovat tato oprávnění pro všechna nainstalovaná rozšíření. Načtěte chrome: // extensions / a klikněte na odkaz podrobností pod každou příponou. Tím se znovu zobrazí všechny žádosti o povolení tohoto rozšíření jako vyskakovací okno v prohlížeči.
Část 4: Zásady ochrany osobních údajů
Za předpokladu, že rozšíření odkazuje na stránku Zásady ochrany osobních údajů, můžete na ní najít informace, které odhalí, zda jsou uživatelé sledováni či nikoli. To nebude fungovat nedbale u přímých škodlivých rozšíření.
Pokud se například podíváte na zásady ochrany osobních údajů Fairshare, které jsou propojeny s rozšířeními, jako je například Hover Zoom, najdete v něm následující pasáž:
Společnost může používat cookies prohlížeče, webová a DOM úložná data, Adobe Flash cookies, pixely, majáky a další technologie sledování a sběru dat, které mohou zahrnovat anonymní jedinečný identifikátor.
Tyto technologie mohou být použity ke shromažďování a ukládání informací o vašem používání Služeb, mimo jiné včetně webových stránek, funkcí a obsahu, ke kterým jste přistupovali, vyhledávacích dotazů, které jste spustili, informací o referenčních adresách URL, odkazů, na které jste klikli, a reklam, které jste použili Viděl.
Tato data se používají pro obchodní účely, jako je poskytování relevantnějších reklam a obsahu a průzkum trhu
Část 5: Zdrojový kód
Procházení zdrojovým kódem může být nejlepší možností, abyste zjistili, zda rozšíření sleduje vás nebo zda je škodlivé.
To nemusí být tak technické, jak to zní, a to je často možné určit pomocí základních dovedností HTML a JavaScript.
První věc, kterou potřebujete, je rozšíření, které vám umožní chytit zdrojový kód rozšíření bez jeho instalace. Prohlížeč zdroje rozšíření prohlížeče Chrome je rozšíření open source pro Chrome, které vám s tím pomůže.
Alternativou je spuštění Chromu v prostředí izolovaném v karanténě, instalace rozšíření do něj a získání přístupu k jejich souborům.
Pokud používáte prohlížeč zdroje rozšíření, můžete kliknutím na ikonu crx v adresním řádku v Internetovém obchodě Chrome stáhnout rozšíření jako soubor ZIP nebo zobrazit jeho zdroj ihned v prohlížeči.
Okamžitě můžete ignorovat všechny soubory CSC a obrázky. Soubory, na které byste se měli blíže podívat, mají obvykle příponu .js nebo .json.
Nejprve můžete zkontrolovat soubor manifest.json a zkontrolovat hodnotu content_security_policy a zobrazit tam seznam domén, ale to obvykle nestačí.
Některá rozšíření používají zjevná jména pro sledování souborů, například pro reklamy, abyste tam mohli začít.
Možná to nebudete vědět, jestli neznáte JavaScript, ale pokud tomu tak není.
Teď ty : Provozujete rozšíření Chrome? Ověřili jste je před instalací?