Quanto è sicuro il Chrome Web Store comunque?

Quanto è sicuro il Chrome Web Store comunque?

Circa il 33% di tutti gli utenti di Chromium ha installato un qualche tipo di plug-in del browser. Piuttosto che essere una nicchia, tecnologia edge utilizzata esclusivamente da utenti esperti, i componenti aggiuntivi sono decisamente mainstream, con la maggior parte proveniente dal Chrome Web Store e dal Firefox Add-Ons Marketplace.





Ma quanto sono sicuri?



Secondo la ricerca dovuto essere presentato all'IEEE Symposium on Security and Privacy, la risposta è non molto . Lo studio finanziato da Google ha rilevato che decine di milioni di utenti di Chrome hanno installato una varietà di malware basato su componenti aggiuntivi, che rappresenta il 5% del traffico totale di Google.





La ricerca ha portato alla rimozione di quasi 200 plug-in dall'App Store di Chrome e ha messo in discussione la sicurezza complessiva del mercato.

Quindi, cosa sta facendo Google per proteggerci e come puoi individuare un componente aggiuntivo non autorizzato? Ho scoperto.



Da dove vengono i componenti aggiuntivi?

Chiamali come vuoi - estensioni del browser, plug-in o componenti aggiuntivi - provengono tutti dallo stesso posto. Sviluppatori indipendenti di terze parti che producono prodotti che ritengono servano o risolvono un problema.

I componenti aggiuntivi del browser sono generalmente scritti utilizzando tecnologie Web, come HTML, CSS e JavaScript e di solito sono creati per un browser specifico, sebbene ci siano alcuni servizi di terze parti che facilitano la creazione di plug-in per browser multipiattaforma.



Una volta che un plugin ha raggiunto un livello di completamento ed è stato testato, viene rilasciato. È possibile distribuire un plug-in in modo indipendente, anche se la stragrande maggioranza degli sviluppatori sceglie invece di distribuirli tramite Mozilla, Google e gli store di estensioni di Microsoft.

Anche se, prima che tocchi il computer di un utente, deve essere testato per assicurarsi che sia sicuro da usare. Ecco come funziona sull'App Store di Google Chrome.



Mantenere Chrome al sicuro

Dalla presentazione di una proroga, alla sua eventuale pubblicazione, c'è un'attesa di 60 minuti. Che succede qui? Ebbene, dietro le quinte, Google si assicura che il plug-in non contenga alcuna logica dannosa o nulla che possa compromettere la privacy o la sicurezza degli utenti.

Questo processo è noto come 'Enhanced Item Validation' (IEV) ed è una serie di controlli rigorosi che esaminano il codice di un plug-in e il suo comportamento una volta installato, al fine di identificare il malware.

Google ha anche pubblicato una 'guida di stile' di una sorta che dice agli sviluppatori quali comportamenti sono consentiti e scoraggia espressamente gli altri. Ad esempio, è vietato utilizzare JavaScript in linea, ovvero JavaScript non archiviato in un file separato, per ridurre il rischio di attacchi di scripting tra siti .

Google scoraggia fortemente anche l'uso di 'eval', che è un costrutto di programmazione che consente al codice di eseguire codice e può introdurre tutti i tipi di rischi per la sicurezza. Inoltre, non sono particolarmente interessati ai plug-in che si connettono a servizi remoti non Google, poiché ciò comporta il rischio di un attacco Man-In-The-Middle (MITM) .

Questi sono passaggi semplici, ma sono per la maggior parte efficaci nel proteggere gli utenti. Javvad Malik , Security Advocate di Alienware, pensa che sia un passo nella giusta direzione, ma osserva che la sfida più grande nel garantire la sicurezza degli utenti è una questione di istruzione.

'Fare la distinzione tra software buono e cattivo sta diventando sempre più difficile. Per parafrasare, il software legittimo di un uomo è un virus dannoso che ruba identità e compromette la privacy, codificato nelle viscere dell'inferno. 'Non fraintendetemi, accolgo con favore la mossa di Google di rimuovere queste estensioni dannose - alcune di queste dovrebbero non sono mai stati resi pubblici per cominciare. Ma la sfida futura per aziende come Google è controllare le estensioni e definire i limiti di ciò che è accettabile. Una conversazione che va oltre la sicurezza o la tecnologia e una domanda per la società che utilizza Internet in generale.'

Google mira a garantire che gli utenti siano informati sui rischi associati all'installazione dei plug-in del browser. Ogni estensione sull'App Store di Google Chrome è esplicita sulle autorizzazioni richieste e non può superare le autorizzazioni che le concedi. Se un'estensione chiede di fare cose che sembrano insolite, allora hai motivo di sospettare.

Ma a volte, come tutti sappiamo, il malware si infiltra.

eseguire Windows XP su Windows 10

Quando Google si sbaglia

Google, sorprendentemente, mantiene una nave piuttosto tesa. Non sfugge molto al loro orologio, almeno quando si tratta del Google Chrome Web Store. Quando qualcosa lo fa, tuttavia, è male.

  • Aggiungi a Feedly era un plug-in di Chrome che consentiva agli utenti di aggiungere un sito Web ai propri abbonamenti al lettore RSS Feedly. È nato come un prodotto legittimo rilasciato da uno sviluppatore hobbista , ma è stato acquistato per una somma di quattro cifre nel 2014. I nuovi proprietari hanno quindi allacciato il plug-in con l'adware SuperFish, che ha iniettato pubblicità nelle pagine e ha generato pop-up. SuperFish ha acquisito notorietà all'inizio di quest'anno quando è emerso che Lenovo lo aveva spedito con tutti i suoi laptop Windows di fascia bassa.
  • Schermata della pagina web consente agli utenti di acquisire un'immagine dell'intera pagina Web che stanno visitando ed è stato installato su oltre 1 milione di computer. Tuttavia, ha anche trasmesso le informazioni dell'utente a un singolo indirizzo IP negli Stati Uniti. I proprietari di WebPage Screenshot hanno negato qualsiasi illecito e insistono sul fatto che faceva parte delle loro pratiche di garanzia della qualità. Da allora Google lo ha rimosso dal Chrome Web Store.
  • Aggiungi a Google Chrome era un'estensione canaglia che account Facebook dirottati e condivisi stati, post e foto non autorizzati. Il malware è stato diffuso attraverso un sito che imitava YouTube e ha detto agli utenti di installare il plug-in per guardare i video. Da allora Google ha rimosso il plug-in.

Dato che la maggior parte delle persone utilizza Chrome per eseguire la maggior parte dei propri computer, è preoccupante che questi plug-in siano riusciti a sfuggire alle crepe. Ma almeno c'era un procedura fallire. Quando installi estensioni da un'altra parte, non sei protetto.

Proprio come gli utenti Android possono installare qualsiasi app desiderano, Google ti consente di installare qualsiasi estensione di Chrome che desideri, comprese quelle che non provengono dal Chrome Web Store. Questo non è solo per offrire ai consumatori un po' di scelta in più, ma piuttosto per consentire agli sviluppatori di testare il codice su cui hanno lavorato prima di inviarlo per l'approvazione.

Tuttavia, è importante ricordare che qualsiasi estensione installata manualmente non è stata sottoposta alle rigorose procedure di test di Google e può contenere ogni tipo di comportamento indesiderato.

Quanto sei a rischio?

Nel 2014, Google ha superato Internet Explorer di Microsoft come browser Web dominante e ora rappresenta quasi il 35% degli utenti Internet. Di conseguenza, per chiunque cerchi di guadagnare velocemente o distribuire malware, rimane un bersaglio allettante.

Google, per la maggior parte, è stata in grado di farcela. Ci sono stati incidenti, ma sono stati isolati. Quando il malware è riuscito a sfuggire, l'hanno affrontato in modo conveniente e con la professionalità che ti aspetteresti da Google.

Tuttavia, è chiaro che estensioni e plugin sono un potenziale vettore di attacco. Se hai intenzione di fare qualcosa di sensibile come accedere al tuo banking online, potresti volerlo fare in un browser separato, senza plug-in o in una finestra di navigazione in incognito. E se hai una delle estensioni elencate sopra, digita chrome://extensions/ nella barra degli indirizzi di Chrome, quindi trovali ed eliminali, solo per sicurezza.

Hai mai installato accidentalmente del malware Chrome? Vivi per raccontare la storia? Voglio sentirne parlare. Lasciami un commento qui sotto e parleremo.

Crediti immagine: Martello su vetro in frantumi Tramite Shutterstock

Condividere Condividere Tweet E-mail Dark Web vs Deep Web: qual è la differenza?

Il dark web e il deep web vengono spesso scambiati per essere la stessa cosa. Ma non è così, quindi qual è la differenza?

Leggi Avanti Argomenti correlati
  • Browser
  • Sicurezza
  • Google Chrome
  • Sicurezza online
Circa l'autore Matthew Hughes(386 articoli pubblicati)

Matthew Hughes è uno sviluppatore di software e scrittore di Liverpool, in Inghilterra. Raramente si trova senza una tazza di caffè nero forte in mano e adora assolutamente il suo Macbook Pro e la sua fotocamera. Puoi leggere il suo blog all'indirizzo http://www.matthewhughes.co.uk e seguirlo su Twitter all'indirizzo @matthewhughes.

Altro da Matthew Hughes

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per consigli tecnici, recensioni, ebook gratuiti e offerte esclusive!

Clicca qui per iscriverti