Yine de Chrome Web Mağazası Ne Kadar Güvenli?

Yine de Chrome Web Mağazası Ne Kadar Güvenli?

Tüm Chromium kullanıcılarının yaklaşık %33'ünde bir tür tarayıcı eklentisi yüklüdür. Eklentiler, yalnızca uzman kullanıcılar tarafından kullanılan bir niş, uç teknoloji olmaktan ziyade, çoğunluğu Chrome Web Mağazası ve Firefox Eklentileri Pazarı'ndan gelen, olumlu bir şekilde ana akımdır.





Ama ne kadar güvenliler?



Araştırmaya göre sunulması nedeniyle IEEE Güvenlik ve Gizlilik Sempozyumu'nda cevap şudur: çok değil . Google tarafından finanse edilen çalışma, on milyonlarca Chrome kullanıcısının, toplam Google trafiğinin %5'ini temsil eden çeşitli eklenti tabanlı kötü amaçlı yazılımlar yüklediğini buldu.





Araştırma, yaklaşık 200 eklentinin Chrome App Store'dan silinmesiyle sonuçlandı ve pazar yerinin genel güvenliğini sorguladı.

Peki, Google bizi güvende tutmak için ne yapıyor ve hileli bir eklentiyi nasıl tespit edebilirsiniz? öğrendim.



Eklentilerin Geldiği Yer

Onlara ne derseniz deyin - tarayıcı uzantıları, eklentiler veya eklentiler - hepsi aynı yerden gelir. Bir ihtiyaca hizmet ettiğini veya bir sorunu çözdüğünü düşündükleri ürünler üreten bağımsız, üçüncü taraf geliştiriciler.

Tarayıcı eklentileri genellikle HTML, CSS ve JavaScript gibi web teknolojileri kullanılarak yazılır ve platformlar arası tarayıcı eklentilerinin oluşturulmasını kolaylaştıran bazı üçüncü taraf hizmetleri olmasına rağmen genellikle belirli bir tarayıcı için oluşturulur.



Bir eklenti tamamlanma düzeyine ulaştığında ve test edildikten sonra serbest bırakılır. Bir eklentiyi bağımsız olarak dağıtmak mümkündür, ancak geliştiricilerin büyük çoğunluğu eklentileri Mozilla, Google ve Microsoft'un uzantı mağazaları aracılığıyla dağıtmayı tercih etmektedir.

Her ne kadar bir kullanıcının bilgisayarına dokunmadan önce, kullanımının güvenli olduğundan emin olmak için test edilmesi gerekir. Google Chrome App Store'da nasıl çalıştığı aşağıda açıklanmıştır.



Chrome'u Güvende Tutma

Bir uzantının sunulmasından nihai yayınlanmasına kadar 60 dakikalık bir bekleme süresi vardır. Burada ne olur? Pekala, perde arkasında Google, eklentinin herhangi bir kötü niyetli mantık içermediğinden veya kullanıcıların gizliliğini veya güvenliğini tehlikeye atabilecek herhangi bir şey içermediğinden emin oluyor.

Bu süreç 'Gelişmiş Öğe Doğrulaması' (IEV) olarak bilinir ve kötü amaçlı yazılımı tanımlamak için bir eklentinin kodunu ve yüklendiğinde davranışını inceleyen bir dizi titiz kontroldür.

Google ayrıca bir 'stil kılavuzu' yayınladı geliştiricilere hangi davranışlara izin verildiğini söyleyen ve diğerlerini açıkça caydıran türden. Örneğin, siteler arası komut dosyası çalıştırma saldırılarına karşı riski azaltmak için satır içi JavaScript - ayrı bir dosyada saklanmayan JavaScript - kullanılması yasaktır.

Google ayrıca, kodun kod yürütmesine izin veren ve her türlü güvenlik riskini ortaya çıkarabilen bir programlama yapısı olan 'eval' kullanımını kesinlikle önermemektedir. Ayrıca, Google dışı uzak hizmetlere bağlanan eklentilere çok da hevesli değiller çünkü bu, Ortadaki Adam (MITM) saldırısı riski taşıyor.

Bunlar basit adımlardır, ancak çoğunlukla kullanıcıları güvende tutmada etkilidir. Cevad Malik Alienware Güvenlik Savunucusu, bunun doğru yönde atılmış bir adım olduğunu düşünüyor ancak kullanıcıları güvende tutmanın en büyük zorluğunun bir eğitim sorunu olduğunu belirtiyor.

'İyi ve kötü yazılım arasında ayrım yapmak giderek zorlaşıyor. Başka bir deyişle, bir kişinin meşru yazılımı, bir başka kişinin kimlik çalan, mahremiyetten ödün veren, cehennemin derinliklerinde kodlanmış kötü niyetli bir virüstür. 'Beni yanlış anlamayın, Google'ın bu kötü niyetli uzantıları kaldırma hareketini memnuniyetle karşılıyorum - bunlardan bazıları gerekir. hiçbir zaman halka açıklanmadı. Ancak Google gibi şirketler için ileriye dönük zorluk, uzantıları denetlemek ve kabul edilebilir davranışların sınırlarını belirlemektir. Bir güvenlik veya teknolojinin ötesine geçen bir konuşma ve genel olarak internet kullanan toplum için bir soru.'

Google, kullanıcıların tarayıcı eklentilerini yüklemeyle ilişkili riskler hakkında bilgilendirilmesini sağlamayı amaçlar. Google Chrome App Store'daki her uzantı, gerekli izinler konusunda açıktır ve verdiğiniz izinleri aşamaz. Bir uzantı olağandışı görünen şeyler yapmak istiyorsa, şüphelenmek için nedeniniz var demektir.

Ancak ara sıra, hepimizin bildiği gibi, kötü amaçlı yazılımlar süzülür.

iphone 7 portre nasıl kullanılır

Google Yanlış Anladığında

Google, şaşırtıcı bir şekilde, oldukça sıkı bir gemi tutuyor. En azından Google Chrome Web Mağazası söz konusu olduğunda, saatlerinin yanından pek bir şey geçmiyor. Ancak bir şey yapıldığında, kötüdür.

  • AddToFeedly kullanıcıların Feedly RSS okuyucu aboneliklerine bir web sitesi eklemelerine izin veren bir Chrome eklentisiydi. Hayata meşru bir ürün olarak başladı hobici bir geliştirici tarafından yayınlandı , ancak 2014'te dört haneli bir ücret karşılığında satın alındı. Yeni sahipler daha sonra eklentiyi SuperFish reklam yazılımıyla bağladılar, bu da sayfalara reklam enjekte etti ve pop-up'lar oluşturdu. SuperFish, bu yılın başlarında Lenovo'nun tüm düşük kaliteli Windows dizüstü bilgisayarlarıyla birlikte gönderdiğinin ortaya çıkmasıyla ün kazandı.
  • Web Sayfası Ekran Görüntüsü kullanıcıların ziyaret ettikleri bir web sayfasının tamamının bir görüntüsünü yakalamalarına olanak tanır ve 1 milyondan fazla bilgisayara yüklenmiştir. Bununla birlikte, Amerika Birleşik Devletleri'nde de kullanıcı bilgilerini tek bir IP adresine iletmektedir. WebPage Screenshot'ın sahipleri, herhangi bir yanlış yapmayı reddettiler ve bunun kalite güvence uygulamalarının bir parçası olduğu konusunda ısrar ettiler. Google, o zamandan beri Chrome Web Mağazası'ndan kaldırdı.
  • Google Chrome'a ​​Ekle, hileli bir uzantıydı. çalınan Facebook hesapları ve yetkisiz durumları, gönderileri ve fotoğrafları paylaştı. Kötü amaçlı yazılım, YouTube'u taklit eden bir site aracılığıyla yayıldı ve kullanıcılara video izlemek için eklentiyi yüklemelerini söyledi. Google o zamandan beri eklentiyi kaldırdı.

Çoğu insanın bilgisayarlarının büyük çoğunluğunu yapmak için Chrome'u kullandığı göz önüne alındığında, bu eklentilerin çatlaklardan sıyrılmayı başarması rahatsız edici. Ama en azından bir vardı prosedür başaramamak. Başka bir yerden uzantı yüklediğinizde korunmazsınız.

Android kullanıcılarının istedikleri herhangi bir uygulamayı yükleyebilmeleri gibi, Google, Chrome Web Mağazası'ndan gelmeyenler de dahil olmak üzere istediğiniz herhangi bir Chrome uzantısını yüklemenize izin verir. Bu sadece tüketicilere biraz daha fazla seçenek sunmak için değil, geliştiricilerin üzerinde çalıştıkları kodu onay için göndermeden önce test etmelerine izin vermek için değil.

Ancak, manuel olarak yüklenen herhangi bir uzantının Google'ın zorlu test prosedürlerinden geçmediğini ve her türlü istenmeyen davranışı içerebileceğini unutmamak önemlidir.

Ne Kadar Risk Altındasınız?

2014'te Google, baskın web tarayıcısı olarak Microsoft'un Internet Explorer'ını geride bıraktı ve şu anda İnternet kullanıcılarının neredeyse %35'ini temsil ediyor. Sonuç olarak, hızlı para kazanmak veya kötü amaçlı yazılım dağıtmak isteyen herkes için cazip bir hedef olmaya devam ediyor.

Google, çoğunlukla başa çıkabildi. Olaylar oldu ama izole edildiler. Kötü amaçlı yazılımlar sızmayı başardığında, bununla uygun bir şekilde ve Google'dan bekleyeceğiniz profesyonellikle ilgilendiler.

Ancak, uzantıların ve eklentilerin potansiyel bir saldırı vektörü olduğu açıktır. Çevrimiçi bankacılığınıza giriş yapmak gibi hassas bir şey yapmayı planlıyorsanız, bunu ayrı, eklentisiz bir tarayıcıda veya gizli bir pencerede yapmak isteyebilirsiniz. Ve yukarıda listelenen uzantılardan herhangi birine sahipseniz, şunu yazın chrome://uzantılar/ Chrome adres çubuğunuzda, güvenli olmak için onları bulun ve silin.

Hiç yanlışlıkla bazı Chrome kötü amaçlı yazılımları yüklediniz mi? Masal anlatmak için yaşamak mı? Bunu duymak istiyorum. Aşağıya bir yorum bırakın, sohbet edelim.

Resim Kredisi: Kırık cam üzerinde çekiç Shutterstock üzerinden

Paylaş Paylaş Cıvıldamak E-posta Dark Web vs. Deep Web: Fark Nedir?

Karanlık ağ ve derin ağ genellikle bir ve aynı olmakla karıştırılır. Ama durum böyle değil, peki fark ne?

Sonrakini Oku İlgili konular
  • tarayıcılar
  • Güvenlik
  • Google Chrome
  • Çevrimiçi Güvenlik
Yazar hakkında Matthew Hughes(386 Makale Yayınlandı)

Matthew Hughes, Liverpool, İngiltere'den bir yazılım geliştiricisi ve yazarıdır. Elinde bir fincan koyu siyah kahve olmadan nadiren bulunur ve Macbook Pro'suna ve kamerasına kesinlikle bayılır. Blogunu http://www.matthewhughes.co.uk adresinde okuyabilir ve twitter'da @matthewhughes adresinden takip edebilirsiniz.

Matthew Hughes'dan Daha Fazla

Haber bültenimize abone ol

Teknik ipuçları, incelemeler, ücretsiz e-kitaplar ve özel fırsatlar için bültenimize katılın!

Abone olmak için buraya tıklayın