Khoảng 33% tổng số người dùng Chromium đã cài đặt một số loại plugin trình duyệt. Thay vì là một công nghệ tiên tiến được sử dụng độc quyền bởi những người dùng thành thạo, các tiện ích bổ sung thực sự là xu hướng chủ đạo, với phần lớn đến từ Cửa hàng Chrome trực tuyến và Thị trường tiện ích bổ sung của Firefox.
Nhưng chúng an toàn đến mức nào?
Theo nghiên cứu được trình bày tại Hội nghị chuyên đề IEEE về Bảo mật và Quyền riêng tư, câu trả lời là không rất . Nghiên cứu do Google tài trợ cho thấy hàng chục triệu người dùng Chrome đã cài đặt một số phần mềm độc hại dựa trên tiện ích bổ sung, chiếm 5% tổng lưu lượng truy cập của Google.
Kết quả nghiên cứu dẫn đến việc gần 200 plugin bị xóa khỏi Chrome App Store và đặt ra câu hỏi về tính bảo mật tổng thể của thị trường.
Vì vậy, Google đang làm gì để giữ cho chúng tôi an toàn và làm cách nào bạn có thể phát hiện ra một tiện ích bổ sung giả mạo? Tôi đã tìm ra.
Nơi bổ trợ đến từ
Hãy gọi cho họ những gì bạn muốn - tiện ích mở rộng trình duyệt, plugin hoặc tiện ích bổ sung - tất cả đều đến từ cùng một nơi. Các nhà phát triển bên thứ ba, độc lập sản xuất các sản phẩm mà họ cảm thấy phục vụ được nhu cầu hoặc giải quyết một vấn đề.
Tiện ích bổ sung của trình duyệt thường được viết bằng công nghệ web, chẳng hạn như HTML, CSS và JavaScript và thường được xây dựng cho một trình duyệt cụ thể, mặc dù có một số dịch vụ của bên thứ ba tạo điều kiện thuận lợi cho việc tạo các plugin trình duyệt đa nền tảng.
Khi một plugin đã đạt đến mức hoàn thiện và được kiểm tra, thì plugin đó sẽ được phát hành. Có thể phân phối plugin một cách độc lập, mặc dù đại đa số các nhà phát triển chọn phân phối chúng thông qua các cửa hàng tiện ích mở rộng của Mozilla, Google và Microsoft.
Mặc dù trước khi chạm vào máy tính của người dùng, nó phải được kiểm tra để đảm bảo rằng nó an toàn khi sử dụng. Đây là cách nó hoạt động trên Google Chrome App Store.
Giữ Chrome an toàn
Từ khi gửi một phần mở rộng cho đến khi xuất bản cuối cùng, có 60 phút chờ đợi. chuyện gì xảy ra ở đây thế? Vâng, đằng sau hậu trường, Google đang đảm bảo rằng plugin không chứa bất kỳ logic độc hại nào hoặc bất kỳ thứ gì có thể ảnh hưởng đến quyền riêng tư hoặc sự an toàn của người dùng.
Quá trình này được gọi là 'Xác thực mặt hàng nâng cao' (IEV) và là một loạt các bước kiểm tra nghiêm ngặt nhằm kiểm tra mã của plugin và hành vi của nó khi được cài đặt, để xác định phần mềm độc hại.
Google cũng đã xuất bản một 'hướng dẫn phong cách' cho các nhà phát triển biết những hành vi nào được phép và rõ ràng không khuyến khích những người khác. Ví dụ:không được phép sử dụng JavaScript nội tuyến - JavaScript không được lưu trữ trong một tệp riêng - để giảm thiểu rủi ro chống lại các cuộc tấn công tập lệnh trên nhiều trang web.
Google cũng không khuyến khích việc sử dụng 'eval', một cấu trúc lập trình cho phép mã thực thi mã và có thể gây ra tất cả các loại rủi ro bảo mật. Họ cũng không quá quan tâm đến các plugin kết nối với các dịch vụ từ xa, không phải của Google, vì điều này có nguy cơ xảy ra cuộc tấn công Man-In-The-Middle (MITM).
Đây là những bước đơn giản nhưng phần lớn hiệu quả trong việc giữ an toàn cho người dùng. Javvad Malik, Người ủng hộ bảo mật tại Alienware, cho rằng đó là một bước đi đúng hướng nhưng lưu ý rằng thách thức lớn nhất trong việc giữ an toàn cho người dùng là vấn đề giáo dục.
"Việc phân biệt giữa phần mềm tốt và phần mềm xấu ngày càng trở nên khó khăn. Nói cách diễn giải, một phần mềm hợp pháp của một người là phần mềm độc hại xâm phạm quyền riêng tư, đánh cắp danh tính của người khác được mã hóa trong ruột." Đừng hiểu sai ý tôi, tôi hoan nghênh động thái của Google để loại bỏ những tiện ích mở rộng độc hại này - một số tiện ích mở rộng độc hại này lẽ ra không bao giờ được công khai từ đầu. Nhưng thách thức sắp tới đối với các công ty như Google là kiểm soát các tiện ích mở rộng và xác định giới hạn của hành vi có thể chấp nhận được. Một cuộc trò chuyện vượt ra ngoài phạm vi bảo mật hoặc công nghệ và một câu hỏi cho xã hội sử dụng internet nói chung. "
Mục đích của Google là đảm bảo rằng người dùng được thông báo về những rủi ro liên quan đến việc cài đặt plugin trình duyệt. Mỗi tiện ích mở rộng trên Google Chrome App Store đều rõ ràng về các quyền cần thiết và không được vượt quá các quyền bạn cấp cho nó. Nếu tiện ích mở rộng yêu cầu thực hiện những điều có vẻ bất thường, thì bạn có lý do để nghi ngờ.
Nhưng đôi khi, như chúng ta đều biết, phần mềm độc hại vẫn lọt qua.
Khi Google Sai
Google, đáng ngạc nhiên, giữ một con tàu khá chặt chẽ. Không có nhiều thứ vượt qua đồng hồ của họ, ít nhất là khi nói đến Cửa hàng Google Chrome trực tuyến. Tuy nhiên, khi có điều gì đó xảy ra, thì đó là điều tồi tệ.
- AddToFeedly là một plugin của Chrome cho phép người dùng thêm trang web vào đăng ký trình đọc Feedly RSS của họ. Nó bắt đầu hoạt động như một sản phẩm hợp pháp được phát hành bởi một nhà phát triển có sở thích, nhưng đã được mua lại với số tiền bốn con số vào năm 2014. Sau đó, chủ sở hữu mới đã kết hợp plugin với phần mềm quảng cáo SuperFish, đưa quảng cáo vào các trang và tạo ra các cửa sổ bật lên. SuperFish đã trở nên nổi tiếng vào đầu năm nay khi Lenovo chuyển giao nó với tất cả các máy tính xách tay Windows cấp thấp của họ.
- Ảnh chụp màn hình trang Web cho phép người dùng chụp toàn bộ hình ảnh của trang web mà họ đang truy cập và đã được cài đặt trên hơn 1 triệu máy tính. Tuy nhiên, nó cũng đang truyền thông tin người dùng đến một địa chỉ IP duy nhất ở Hoa Kỳ. Chủ sở hữu của Ảnh chụp màn hình trang Web đã phủ nhận mọi hành vi sai trái và khẳng định đó là một phần trong các hoạt động đảm bảo chất lượng của họ. Google đã xóa nó khỏi Cửa hàng Chrome trực tuyến.
- Adicionar Ao Google Chrome là một tiện ích mở rộng lừa đảo chiếm đoạt tài khoản Facebook và chia sẻ các trạng thái, bài đăng và ảnh trái phép. Phần mềm độc hại đã được phát tán qua một trang web bắt chước YouTube và yêu cầu người dùng cài đặt plugin để xem video. Google đã loại bỏ plugin này.
Cho rằng hầu hết mọi người sử dụng Chrome để thực hiện phần lớn công việc tính toán của họ, thật khó khăn khi các plugin này đã vượt qua được các vết nứt. Nhưng ít nhất đã có một thủ tục thất bại. Khi bạn cài đặt tiện ích mở rộng từ nơi khác, bạn không được bảo vệ.
Giống như người dùng Android có thể cài đặt bất kỳ ứng dụng nào họ muốn, Google cho phép bạn cài đặt bất kỳ tiện ích mở rộng nào của Chrome mà bạn muốn, kể cả những tiện ích mở rộng không đến từ Cửa hàng Chrome trực tuyến. Điều này không chỉ để cung cấp cho người tiêu dùng thêm một chút lựa chọn, mà còn cho phép các nhà phát triển kiểm tra mã mà họ đang làm việc trước khi gửi đi để phê duyệt.
Tuy nhiên, điều quan trọng cần nhớ là bất kỳ tiện ích mở rộng nào được cài đặt theo cách thủ công đều không trải qua quy trình kiểm tra nghiêm ngặt của Google và có thể chứa tất cả các loại hành vi không mong muốn.
Bạn gặp rủi ro như thế nào?
Vào năm 2014, Google đã vượt qua Internet Explorer của Microsoft để trở thành trình duyệt web thống trị và hiện đại diện cho gần 35% người dùng Internet. Do đó, đối với bất kỳ ai muốn kiếm tiền nhanh hoặc phát tán phần mềm độc hại, nó vẫn là một mục tiêu hấp dẫn.
Google, phần lớn, đã có thể đối phó. Đã có những sự cố, nhưng chúng đã bị cô lập. Khi phần mềm độc hại vượt qua được, chúng đã xử lý nó một cách nhanh chóng và với sự chuyên nghiệp mà bạn mong đợi từ Google.
Tuy nhiên, rõ ràng là các tiện ích mở rộng và plugin là một vectơ tấn công tiềm ẩn. Nếu bạn định làm bất cứ điều gì nhạy cảm, chẳng hạn như đăng nhập vào ngân hàng trực tuyến của mình, bạn có thể muốn làm điều đó trong một trình duyệt riêng biệt, không có plugin hoặc cửa sổ ẩn danh. Và nếu bạn có bất kỳ tiện ích nào được liệt kê ở trên, hãy nhập chrome:// extensions / trong thanh địa chỉ Chrome của bạn, sau đó tìm và xóa chúng, chỉ để an toàn.
Bạn đã bao giờ vô tình cài đặt một số phần mềm độc hại trên Chrome chưa? Sống để kể câu chuyện? Tôi muốn nghe về nó. Hãy gửi cho tôi một bình luận bên dưới và chúng ta sẽ trò chuyện.