Chrome เว็บสโตร์ปลอดภัยแค่ไหน?

Chrome เว็บสโตร์ปลอดภัยแค่ไหน?

ผู้ใช้ Chromium ประมาณ 33% ได้ติดตั้งปลั๊กอินของเบราว์เซอร์บางประเภทแล้ว แทนที่จะเป็นเฉพาะกลุ่ม เทคโนโลยีล้ำสมัยที่ผู้ใช้ระดับสูงใช้โดยเฉพาะ ส่วนเสริมกลับกลายเป็นกระแสหลักในเชิงบวก โดยส่วนใหญ่มาจาก Chrome เว็บสโตร์และตลาดส่วนเสริมของ Firefox





แต่พวกเขาปลอดภัยแค่ไหน?



จากการวิจัย เนื่องจากจะนำเสนอ ที่ IEEE Symposium on Security and Privacy คำตอบคือ ไม่มาก . การศึกษาที่ได้รับทุนสนับสนุนจาก Google พบว่าผู้ใช้ Chrome หลายสิบล้านรายมีการติดตั้งมัลแวร์แบบแอดออนที่หลากหลาย ซึ่งคิดเป็น 5% ของปริมาณการใช้งาน Google ทั้งหมด





การวิจัยส่งผลให้ปลั๊กอินเกือบ 200 รายการถูกขัดออกจาก Chrome App Store และทำให้เกิดปัญหาด้านความปลอดภัยโดยรวมของตลาด

ดังนั้น Google กำลังทำอะไรเพื่อให้เราปลอดภัย และคุณจะตรวจพบส่วนเสริมปลอมได้อย่างไร ฉันพบ.



ส่วนเสริมมาจากไหน

เรียกพวกเขาว่าสิ่งที่คุณต้องการ - ส่วนขยายเบราว์เซอร์ ปลั๊กอิน หรือส่วนเสริม - ทั้งหมดนี้มาจากที่เดียวกัน นักพัฒนาอิสระจากภายนอกที่ผลิตผลิตภัณฑ์ที่พวกเขารู้สึกว่าตอบสนองความต้องการหรือแก้ปัญหา

โดยทั่วไปแล้ว Add-on ของเบราว์เซอร์จะเขียนโดยใช้เทคโนโลยีเว็บ เช่น HTML, CSS และ JavaScript และมักจะสร้างขึ้นสำหรับเบราว์เซอร์ใดเบราว์เซอร์หนึ่งโดยเฉพาะ แม้ว่าจะมีบริการของบุคคลที่สามที่อำนวยความสะดวกในการสร้างปลั๊กอินของเบราว์เซอร์ข้ามแพลตฟอร์ม



เมื่อปลั๊กอินถึงระดับของความสมบูรณ์และผ่านการทดสอบแล้ว ปลั๊กอินนั้นก็จะถูกปล่อยออกมา เป็นไปได้ที่จะแจกจ่ายปลั๊กอินโดยอิสระ แม้ว่านักพัฒนาส่วนใหญ่เลือกที่จะแจกจ่ายผ่าน Mozilla, Google และร้านส่วนขยายของ Microsoft แทน

แม้ว่าก่อนที่จะแตะต้องคอมพิวเตอร์ของผู้ใช้ จะต้องได้รับการทดสอบเพื่อให้แน่ใจว่าใช้งานได้อย่างปลอดภัย นี่คือวิธีการทำงานบน Google Chrome App Store



การรักษา Chrome ให้ปลอดภัย

นับตั้งแต่ยื่นส่วนขยายไปจนถึงเผยแพร่ในท้ายที่สุด ต้องรอ 60 นาที เกิดอะไรขึ้นที่นี่? เบื้องหลัง Google กำลังตรวจสอบให้แน่ใจว่าปลั๊กอินไม่มีตรรกะที่เป็นอันตรายหรือสิ่งใด ๆ ที่อาจส่งผลต่อความเป็นส่วนตัวหรือความปลอดภัยของผู้ใช้

กระบวนการนี้เรียกว่า 'Enhanced Item Validation' (IEV) และเป็นชุดของการตรวจสอบที่เข้มงวดซึ่งจะตรวจสอบโค้ดของปลั๊กอินและพฤติกรรมเมื่อติดตั้ง เพื่อระบุมัลแวร์

Google ก็มี เผยแพร่ 'คู่มือสไตล์' บางอย่างที่บอกนักพัฒนาว่าพฤติกรรมใดที่ได้รับอนุญาต และกีดกันผู้อื่นอย่างชัดเจน ตัวอย่างเช่น ห้ามใช้ JavaScript แบบอินไลน์ - JavaScript ที่ไม่ได้จัดเก็บไว้ในไฟล์แยกต่างหาก เพื่อลดความเสี่ยงจากการโจมตีแบบแฝงสคริปต์

Google ไม่สนับสนุนอย่างยิ่งให้ใช้ 'eval' ซึ่งเป็นโครงสร้างการเขียนโปรแกรมที่ช่วยให้โค้ดสามารถรันโค้ดได้ และอาจทำให้เกิดความเสี่ยงด้านความปลอดภัยได้ทุกประเภท พวกเขายังไม่ค่อยกระตือรือร้นกับปลั๊กอินที่เชื่อมต่อกับบริการระยะไกลที่ไม่ใช่ของ Google เนื่องจากมีความเสี่ยงที่จะถูกโจมตีโดย Man-In-The-Middle (MITM)

ขั้นตอนเหล่านี้เป็นขั้นตอนง่ายๆ แต่ส่วนใหญ่มีประสิทธิภาพในการรักษาความปลอดภัยให้ผู้ใช้ Javvad Malik Security Advocate ที่ Alienware คิดว่ามันเป็นขั้นตอนในทิศทางที่ถูกต้อง แต่ตั้งข้อสังเกตว่าความท้าทายที่ยิ่งใหญ่ที่สุดในการทำให้ผู้ใช้ปลอดภัยคือปัญหาของการศึกษา

'การแยกแยะระหว่างซอฟต์แวร์ที่ดีและไม่ดีกลายเป็นเรื่องยากขึ้นเรื่อยๆ ในการถอดความ ซอฟต์แวร์ที่ถูกต้องตามกฎหมายของชายคนหนึ่งเป็นอีกคนหนึ่งที่ขโมยข้อมูลประจำตัว ไวรัสที่เป็นอันตรายที่ทำลายความเป็นส่วนตัวซึ่งเข้ารหัสไว้ในก้นบึ้งของนรก'อย่าเข้าใจฉันผิด ฉันยินดีต้อนรับ Google ให้ลบส่วนขยายที่เป็นอันตรายเหล่านี้ออก – บางส่วนควร ไม่เคยได้รับการเผยแพร่สู่สาธารณะตั้งแต่แรก แต่ความท้าทายในอนาคตสำหรับบริษัทอย่าง Google คือการรักษาส่วนขยายและกำหนดขอบเขตของพฤติกรรมที่ยอมรับได้ การสนทนาที่ขยายออกไปนอกเหนือจากความปลอดภัยหรือเทคโนโลยี และคำถามสำหรับสังคมที่ใช้อินเทอร์เน็ตในวงกว้าง'

Google มีเป้าหมายเพื่อให้แน่ใจว่าผู้ใช้จะได้รับแจ้งเกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการติดตั้งปลั๊กอินของเบราว์เซอร์ ส่วนขยายแต่ละรายการใน Google Chrome App Store มีความชัดเจนเกี่ยวกับสิทธิ์ที่จำเป็น และต้องไม่เกินสิทธิ์ที่คุณให้ไว้ หากการขยายเวลาขอให้ทำสิ่งที่ดูเหมือนผิดปกติ แสดงว่าคุณมีเหตุอันควรสงสัย

แต่ในบางครั้ง อย่างที่เราทุกคนทราบกันดีว่ามัลแวร์เล็ดลอดผ่านเข้ามา

วิธีล็อคไดรฟ์ usb

เมื่อ Google เข้าใจผิด

Google นั้นค่อนข้างจะแน่นหนาอย่างน่าประหลาดใจ นาฬิกาของพวกเขาแทบไม่มีหลุดเลย อย่างน้อยก็เมื่อพูดถึง Google Chrome เว็บสโตร์ อย่างไรก็ตามเมื่อบางสิ่งบางอย่างไม่ดี

  • AddToFeedly เป็นปลั๊กอิน Chrome ที่อนุญาตให้ผู้ใช้เพิ่มเว็บไซต์ในการสมัครสมาชิก Feedly RSS reader มันเริ่มต้นชีวิตเป็นผลิตภัณฑ์ที่ถูกต้องตามกฎหมาย เปิดตัวโดยนักพัฒนาอดิเรก แต่ถูกซื้อด้วยราคา 4 หลักในปี 2014 จากนั้นเจ้าของรายใหม่ได้ติดตั้งปลั๊กอินด้วยแอดแวร์ SuperFish ซึ่งแทรกโฆษณาลงในหน้าเว็บและสร้างป๊อปอัป SuperFish ได้รับความอื้อฉาวเมื่อต้นปีนี้เมื่อปรากฏว่า Lenovo ได้จัดส่งพร้อมกับแล็ปท็อป Windows ระดับล่างทั้งหมด
  • ภาพหน้าจอของหน้าเว็บ ช่วยให้ผู้ใช้สามารถจับภาพของหน้าเว็บที่พวกเขากำลังเยี่ยมชมทั้งหมด และติดตั้งบนคอมพิวเตอร์มากกว่า 1 ล้านเครื่อง อย่างไรก็ตาม มีการส่งข้อมูลผู้ใช้ไปยังที่อยู่ IP เดียวในสหรัฐอเมริกา เจ้าของ WebPage Screenshot ได้ปฏิเสธการกระทำผิดกฎหมายใดๆ และยืนยันว่านี่เป็นส่วนหนึ่งของหลักปฏิบัติในการประกันคุณภาพของพวกเขา Google ได้ลบออกจาก Chrome เว็บสโตร์แล้ว
  • เพิ่มใน Google Chrome เป็นส่วนขยายหลอกลวงที่ บัญชี Facebook ที่ถูกขโมย และแชร์สถานะ โพสต์ และรูปภาพที่ไม่ได้รับอนุญาต มัลแวร์แพร่กระจายผ่านไซต์ที่เลียนแบบ YouTube และบอกให้ผู้ใช้ติดตั้งปลั๊กอินเพื่อดูวิดีโอ Google ได้ลบปลั๊กอินแล้ว

เนื่องจากคนส่วนใหญ่ใช้ Chrome เพื่อทำการประมวลผลส่วนใหญ่ จึงเป็นเรื่องที่น่าหนักใจที่ปลั๊กอินเหล่านี้สามารถหลุดผ่านรอยแตกร้าวได้ แต่อย่างน้อยก็มี ขั้นตอน ที่จะล้มเหลว. เมื่อคุณติดตั้งส่วนขยายจากที่อื่น คุณจะไม่ได้รับการปกป้อง

เช่นเดียวกับที่ผู้ใช้ Android สามารถติดตั้งแอปใดก็ได้ที่ต้องการ Google ให้คุณติดตั้งส่วนขยาย Chrome ใดๆ ที่คุณต้องการ รวมถึงส่วนขยายที่ไม่ได้มาจาก Chrome เว็บสโตร์ นี่ไม่ใช่เพียงเพื่อให้ผู้บริโภคมีทางเลือกมากขึ้นเท่านั้น แต่ยังช่วยให้นักพัฒนาสามารถทดสอบโค้ดที่พวกเขาใช้อยู่ก่อนที่จะส่งออกไปเพื่อขออนุมัติ

อย่างไรก็ตาม สิ่งสำคัญที่ต้องจำไว้คือส่วนขยายใดๆ ที่ติดตั้งด้วยตนเองนั้นไม่ได้ผ่านขั้นตอนการทดสอบที่เข้มงวดของ Google และอาจมีพฤติกรรมที่ไม่พึงประสงค์ได้ทุกประเภท

คุณมีความเสี่ยงแค่ไหน?

ในปี 2014 Google แซงหน้า Internet Explorer ของ Microsoft ในฐานะเว็บเบราว์เซอร์หลัก และปัจจุบันเป็นตัวแทนของผู้ใช้อินเทอร์เน็ตเกือบ 35% ด้วยเหตุนี้ สำหรับใครก็ตามที่ต้องการสร้างรายได้อย่างรวดเร็วหรือแจกจ่ายมัลแวร์ มันยังคงเป็นเป้าหมายที่ดึงดูดใจ

Google ส่วนใหญ่สามารถรับมือได้ มีเหตุการณ์เกิดขึ้น แต่พวกเขาถูกโดดเดี่ยว เมื่อมัลแวร์สามารถเล็ดลอดผ่านเข้ามาได้ พวกเขาจัดการกับมันอย่างเหมาะสม และด้วยความเป็นมืออาชีพที่คุณคาดหวังจาก Google

อย่างไรก็ตาม เป็นที่ชัดเจนว่าส่วนขยายและปลั๊กอินเป็นเวกเตอร์การโจมตีที่อาจเกิดขึ้นได้ หากคุณกำลังวางแผนที่จะทำอะไรที่ละเอียดอ่อน เช่น เข้าสู่ระบบธนาคารออนไลน์ของคุณ คุณอาจต้องการดำเนินการดังกล่าวในเบราว์เซอร์ที่แยกจากกันซึ่งไม่มีปลั๊กอินหรือหน้าต่างที่ไม่ระบุตัวตน และถ้าคุณมีส่วนขยายตามรายการข้างต้น ให้พิมพ์ chrome://ส่วนขยาย/ ในแถบที่อยู่ของ Chrome จากนั้นค้นหาและลบออกเพื่อความปลอดภัย

คุณเคยติดตั้งมัลแวร์ Chrome โดยไม่ได้ตั้งใจหรือไม่? อยู่เพื่อเล่าเรื่อง? ฉันต้องการที่จะได้ยินเกี่ยวกับมัน ฝากความคิดเห็นไว้ด้านล่าง แล้วเราจะคุยกัน

เครดิตรูปภาพ: ค้อนทุบกระจก ผ่าน Shutterstock

แบ่งปัน แบ่งปัน ทวีต อีเมล Dark Web กับ Deep Web: อะไรคือความแตกต่าง?

เว็บมืดและเว็บลึกมักถูกเข้าใจผิดว่าเป็นอันเดียวกัน แต่นั่นไม่ใช่กรณี ความแตกต่างคืออะไร?

อ่านต่อไป หัวข้อที่เกี่ยวข้อง
  • เบราว์เซอร์
  • ความปลอดภัย
  • Google Chrome
  • ความปลอดภัยออนไลน์
เกี่ยวกับผู้เขียน Matthew Hughes(386 บทความที่ตีพิมพ์)

Matthew Hughes เป็นนักพัฒนาซอฟต์แวร์และนักเขียนจากลิเวอร์พูล ประเทศอังกฤษ แทบจะไม่มีใครพบเขาเลยหากไม่มีกาแฟดำเข้มข้นในมือ และชื่นชอบ Macbook Pro และกล้องของเขาเป็นอย่างยิ่ง คุณสามารถอ่านบล็อกของเขาได้ที่ http://www.matthewhughes.co.uk และติดตามเขาทางทวิตเตอร์ที่ @matthewhughes

เพิ่มเติมจาก Matthew Hughes

สมัครรับจดหมายข่าวของเรา

เข้าร่วมจดหมายข่าวของเราสำหรับเคล็ดลับทางเทคนิค บทวิจารณ์ eBook ฟรี และดีลพิเศษ!

คลิกที่นี่เพื่อสมัครสมาชิก