Wie sicher ist der Chrome Web Store überhaupt?

Wie sicher ist der Chrome Web Store überhaupt?

Etwa 33% aller Chromium-Benutzer haben eine Art Browser-Plugin installiert. Anstatt eine Nischen-Edge-Technologie zu sein, die ausschließlich von Power-Usern verwendet wird, sind Add-Ons positiv im Mainstream, wobei die Mehrheit aus dem Chrome Web Store und dem Firefox Add-Ons Marketplace stammt.





Aber wie sicher sind sie?



Gemäß den Forschungsergebnissen fällig vorzustellen beim IEEE Symposium on Security and Privacy lautet die Antwort nicht sehr . Die von Google finanzierte Studie ergab, dass zig Millionen Chrome-Nutzer verschiedene Add-On-basierte Malware installiert haben, was 5 % des gesamten Google-Traffics ausmacht.





Die Recherche führte dazu, dass fast 200 Plugins aus dem Chrome App Store entfernt wurden und die allgemeine Sicherheit des Marktplatzes in Frage gestellt wurde.

Was tut Google also, um uns zu schützen, und wie können Sie ein betrügerisches Add-on erkennen? Ich fand heraus.



Woher Add-Ons kommen

Nennen Sie sie, wie Sie wollen – Browsererweiterungen, Plugins oder Add-ons – sie alle kommen aus derselben Quelle. Unabhängige Drittentwickler, die Produkte herstellen, von denen sie meinen, dass sie einem Bedarf dienen oder ein Problem lösen.

Browser-Add-Ons werden im Allgemeinen mit Webtechnologien wie HTML, CSS und JavaScript geschrieben und normalerweise für einen bestimmten Browser entwickelt, obwohl es einige Dienste von Drittanbietern gibt, die die Erstellung plattformübergreifender Browser-Plugins erleichtern.



Sobald ein Plugin einen Fertigstellungsgrad erreicht und getestet wurde, wird es dann freigegeben. Es ist möglich, ein Plugin unabhängig zu verteilen, obwohl die überwiegende Mehrheit der Entwickler sich dafür entscheidet, es stattdessen über Mozilla, Google und die Erweiterungsshops von Microsoft zu verteilen.

Bevor es jedoch den Computer eines Benutzers berührt, muss es getestet werden, um sicherzustellen, dass es sicher verwendet werden kann. So funktioniert es im Google Chrome App Store.



Chrome sicher halten

Von der Einreichung einer Verlängerung bis zur endgültigen Veröffentlichung dauert es 60 Minuten. was geschieht hier? Nun, hinter den Kulissen stellt Google sicher, dass das Plugin keine bösartige Logik enthält oder die Privatsphäre oder Sicherheit der Benutzer beeinträchtigen könnte.

Dieser Prozess wird als „Enhanced Item Validation“ (IEV) bezeichnet und besteht aus einer Reihe strenger Prüfungen, die den Code eines Plugins und sein Verhalten bei der Installation untersuchen, um Malware zu identifizieren.

Google hat auch veröffentlichte einen 'Styleguide' Art, die Entwicklern mitteilt, welche Verhaltensweisen erlaubt sind, und andere ausdrücklich davon abhält. Es ist beispielsweise verboten, Inline-JavaScript – JavaScript, das nicht in einer separaten Datei gespeichert ist – zu verwenden, um das Risiko von Cross-Site-Scripting-Angriffen zu mindern.

Google rät auch dringend von der Verwendung von „eval“ ab, einem Programmierkonstrukt, das es Code ermöglicht, Code auszuführen und alle möglichen Sicherheitsrisiken mit sich bringen kann. Sie sind auch nicht besonders an Plugins interessiert, die sich mit Remote-Diensten außerhalb von Google verbinden, da dies die Gefahr eines Man-In-The-Middle-Angriffs (MITM) birgt .

Dies sind einfache Schritte, die jedoch größtenteils effektiv sind, um die Sicherheit der Benutzer zu gewährleisten. Javad Malik , Security Advocate bei Alienware, hält dies für einen Schritt in die richtige Richtung, weist jedoch darauf hin, dass die größte Herausforderung beim Schutz der Benutzer die Bildung ist.

„Die Unterscheidung zwischen guter und schlechter Software wird immer schwieriger. Um es zu paraphrasieren, die legitime Software eines Mannes ist ein identitätsstehlender, die Privatsphäre gefährdender bösartiger Virus des anderen, der in den Eingeweiden der Hölle codiert ist. 'Verstehen Sie mich nicht falsch, ich begrüße den Schritt von Google, diese bösartigen Erweiterungen zu entfernen - einige davon sollten' wurden von vornherein noch nie veröffentlicht. Die Herausforderung für Unternehmen wie Google besteht jedoch darin, die Erweiterungen zu überwachen und die Grenzen des akzeptablen Verhaltens zu definieren. Ein Gespräch, das über eine Sicherheit oder Technologie und eine Frage für die Internet-nutzende Gesellschaft im Allgemeinen hinausgeht.'

Google möchte sicherstellen, dass die Nutzer über die Risiken informiert werden, die mit der Installation von Browser-Plugins verbunden sind. Jede Erweiterung im Google Chrome App Store gibt explizit die erforderlichen Berechtigungen an und darf die von Ihnen erteilten Berechtigungen nicht überschreiten. Wenn eine Nebenstelle Dinge verlangt, die ungewöhnlich erscheinen, haben Sie Anlass zum Verdacht.

Aber wie wir alle wissen, schleicht sich gelegentlich Malware durch.

Spiel zu spielen, wenn online langweilig

Wenn Google etwas falsch macht

Google hält überraschenderweise ein ziemlich enges Schiff. An ihrer Uhr entgeht nicht viel, zumindest wenn es um den Google Chrome Web Store geht. Wenn etwas passiert, ist es jedoch schlecht.

  • AddToFeedly war ein Chrome-Plugin, mit dem Benutzer ihren Feedly-RSS-Reader-Abonnements eine Website hinzufügen konnten. Es begann als legitimes Produkt veröffentlicht von einem Hobby-Entwickler , wurde aber 2014 für einen vierstelligen Betrag gekauft. Die neuen Besitzer haben das Plugin dann mit der SuperFish-Adware geschnürt, die Werbung in Seiten injiziert und Pop-ups hervorbringt. SuperFish erlangte Anfang des Jahres Bekanntheit, als sich herausstellte, dass Lenovo es mit all seinen Low-End-Windows-Laptops ausgeliefert hatte.
  • Screenshot der Webseite ermöglicht es Benutzern, ein Bild der Gesamtheit einer besuchten Webseite zu erfassen, und wurde auf über 1 Million Computern installiert. Es hat jedoch auch Benutzerinformationen an eine einzige IP-Adresse in den Vereinigten Staaten übertragen. Die Eigentümer von WebPage Screenshot haben jegliches Fehlverhalten bestritten und bestehen darauf, dass dies Teil ihrer Qualitätssicherungspraktiken war. Google hat es inzwischen aus dem Chrome Web Store entfernt.
  • Zu Google Chrome hinzufügen war eine betrügerische Erweiterung, die gehackte Facebook-Konten , und teilte nicht autorisierte Status, Beiträge und Fotos. Die Malware wurde über eine Website verbreitet, die YouTube nachahmte, und forderte die Benutzer auf, das Plugin zu installieren, um Videos anzusehen. Google hat das Plugin inzwischen entfernt.

Angesichts der Tatsache, dass die meisten Leute Chrome verwenden, um den größten Teil ihrer Computerarbeit zu erledigen, ist es beunruhigend, dass diese Plugins es geschafft haben, durch die Ritzen zu schlüpfen. Aber immerhin gab es a Verfahren Versagen. Wenn Sie Erweiterungen von woanders installieren, sind Sie nicht geschützt.

Ähnlich wie Android-Benutzer jede beliebige App installieren können, können Sie mit Google jede gewünschte Chrome-Erweiterung installieren, auch solche, die nicht aus dem Chrome Web Store stammen. Dies soll nicht nur den Verbrauchern eine zusätzliche Auswahl bieten, sondern es Entwicklern ermöglichen, den Code, an dem sie gearbeitet haben, zu testen, bevor sie ihn zur Genehmigung senden.

Beachten Sie jedoch, dass jede manuell installierte Erweiterung nicht die strengen Testverfahren von Google durchlaufen hat und alle möglichen unerwünschten Verhaltensweisen aufweisen kann.

Wie gefährdet sind Sie?

Im Jahr 2014 hat Google den Internet Explorer von Microsoft als dominierenden Webbrowser überholt und repräsentiert jetzt fast 35 % der Internetnutzer. Daher bleibt es für jeden, der schnell Geld verdienen oder Malware verbreiten möchte, ein verlockendes Ziel.

Google ist größtenteils in der Lage, damit fertig zu werden. Es gab Vorfälle, aber sie wurden isoliert. Wenn Malware durchschlüpfen konnte, wurde sie zielführend und mit der Professionalität behandelt, die Sie von Google erwarten.

Es ist jedoch klar, dass Erweiterungen und Plugins ein potenzieller Angriffsvektor sind. Wenn Sie vorhaben, etwas Sensibles zu tun, wie sich beispielsweise bei Ihrem Online-Banking anzumelden, möchten Sie dies möglicherweise in einem separaten, Plugin-freien Browser oder einem Inkognito-Fenster tun. Und wenn Sie eine der oben aufgeführten Erweiterungen haben, geben Sie chrome://Erweiterungen/ in Ihrer Chrome-Adressleiste, suchen und löschen Sie sie, nur um sicher zu gehen.

Haben Sie jemals versehentlich Chrome-Malware installiert? Leben, um die Geschichte zu erzählen? Ich möchte davon hören. Schreiben Sie mir unten einen Kommentar und wir unterhalten uns.

Bildnachweis: Hammer auf zerbrochenes Glas Über Shutterstock

Teilen Teilen Tweet Email Dark Web vs. Deep Web: Was ist der Unterschied?

Dark Web und Deep Web werden oft als ein und dasselbe verwechselt. Aber das ist nicht der Fall, also was ist der Unterschied?

Weiter lesen Verwandte Themen
  • Browser
  • Sicherheit
  • Google Chrome
  • Online-Sicherheit
Über den Autor Matthew Hughes(386 veröffentlichte Artikel)

Matthew Hughes ist ein Softwareentwickler und Autor aus Liverpool, England. Er ist selten ohne eine Tasse starken schwarzen Kaffees in der Hand zu finden und liebt sein Macbook Pro und seine Kamera absolut. Sie können seinen Blog unter http://www.matthewhughes.co.uk lesen und ihm auf Twitter unter @matthewhughes folgen.

Mehr von Matthew Hughes

Abonniere unseren Newsletter

Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!

Klicken Sie hier, um zu abonnieren