Bekreft Google Chrome-utvidelser før du installerer dem
- Kategori: Google Chrome
Google Chrome-utvidelser kan utvide funksjonaliteten til nettleseren eller gjøre livet enklere mens du surfer på nettet. Selv om det er tilfelle, kan de også misbrukes av selskaper for å spore brukere på Internett, vise reklame eller laste ned ondsinnet kode til brukersystemet.
Denne artikkelen gir deg midler til å bekrefte Chrome-utvidelser før du installerer dem. Det er viktig å gjøre det før utvidelsen blir installert i nettleseren, da det allerede kan være for sent etter installasjonen.
Selv om du kan konfigurere et testmiljø for nettleserutvidelser, for eksempel i en Sandbox og med en nettverkstrafikkmonitor som Wireshark, er det ikke sikkert det er de fleste brukere som føler seg komfortable med.
Del 0: Det du ikke bør stole på
Chrome Web Store kan se ut som et sikkert sted for alle dine utvidelsesbehov, men det er det ikke. Google bruker automatiserte sjekker som skanner utvidelser som utviklere laster opp til butikken. Disse sjekkene fanger noen, men ikke alle former for inngripende, invasive eller direkte ondsinnede funksjoner.
Trend Micro oppdaget for eksempel ondsinnede nettleserutvidelser i den offisielle nettbutikken i 2014, og det er ikke det eneste selskapet som gjorde det.
En vanlig metode som brukes av utvidelser for å passere alle sikkerhetskontroller, er å inkludere et skript som vil laste den skadelige nyttelasten.
Utvidelsen i seg selv inneholder den ikke når den sendes til Chrome nettbutikk. Dermed passerer utvidelsen sjekken og legges til i butikken der alle Chrome-brukere kan laste ned den.
Hvis du er interessert i et stygt nylig eksempel, sjekk ut skadelig programvare i nettleseren artikkel av Maxime Kjear.
Beskrivelsen er laget av utvikleren av utvidelsen og er derfor ikke til å stole på uten bekreftelse.
Brukerkommentarer kan fremheve problematiske utvidelser, men det er ikke alltid tilfelle. Derfor er de heller ikke å stole på i denne forbindelse uten verifisering.
Sist, men ikke minst, bør du ikke stole på anbefalinger blindt, eller tilbud om å installere en utvidelse fordi det er nødvendig for noe eller annonseres for deg.
Del 1: Beskrivelsen
Mange utvidelser som bruker analyse, klikksporing, sporing av nettleserhistorikken din og andre sporingsformer, fremhever det i beskrivelsen av utvidelsen.
Du ser kanskje ikke dette første blikket fordi Google favoriserer stil over stoffet i butikken. Beskrivelsesfeltet er lite, og du trenger ofte å bla for å lese alt.
Sjekk ut det populære Fantastisk skjermbilde utvidelse for eksempel. Ser legitim ut? Mange positive anmeldelser, mer enn 580 000 brukere.
Hvis du tar deg tid og blar gjennom beskrivelsen, vil du til slutt snuble over følgende passasje:
Bruk av nettleserutvidelsen Awesome Screenshot krever at du gir tillatelse til å fange opp anonymiserte klikkstrømdata.
Vil du ha et annet eksempel? Hva med Hover Zoom, en utvidelse med mer enn 1,2 millioner brukere som har blitt kritisert tidligere for å spore integrasjon? Bla nedover så finner du ..
Hover Zoom krever at utvidelsesbrukere gir Hover Zoom-tillatelse til å samle surfeaktivitet som skal brukes internt og deles med tredjeparter alt for bruk på anonym og samlet basis for forskningsformål
Flash Player + er en annen utvidelse som i beskrivelsen fremhever at den registrerer data og deler disse dataene med tredjeparter.
For kontinuerlig å støtte og forbedre denne programvaren, tillater brukere som installerer den Fairshare å samle inn og dele informasjon om dem og deres nettbruksaktivitet med tredjeparter for forretnings- og forskningsformål.
En rask måte å finne disse utvidelsene er å søke etter setninger som brukes i beskrivelsene. Et søk etter bortvalg viser for eksempel mange av dem i søkeresultatene (ved siden av legitime utvidelser). Mange bruker den samme beskrivelsen som betyr at et søk etter 'å samle og dele informasjon om dem' vil avsløre utvidelser som bruker denne typen sporing for eksempel.
Del 2: Direkte informasjon
Følgende informasjon vises på profilsiden for utvidelsene i Chrome Nettmarked:
Selskapet eller personen som opprettet det / tilbyr det.
En samlet vurdering, og antall brukere som vurderte den.
Totalt antall brukere.
Den siste oppdaterte datoen.
Versjonen.
Informasjonen gir ledetråder, men de er ikke tilstrekkelige til å bedømme en utvidelse. Mange kan forfalskes eller blåses opp kunstig for eksempel.
Google unnlater å oppgi en kobling til alle utvidelser av et selskap eller enkeltperson, og det er ikke noe alternativ å få validering.
Selv om du kan bruke søket til å finne andre utvidelser av et selskap eller en enkeltperson, er det ingen garanti for at resultatene viser dem alle.
Del 3: Tillatelser
Det er vanligvis ikke mulig å avgjøre om en utvidelse er legitim, sporer deg eller direkte ondsinnet basert på tillatelsene den ber om alene.
Det er imidlertid indikatorer på det. For eksempel, hvis en utvidelse som forbedrer Facebook forespørsler om å 'lese og endre alle dataene dine på nettstedene du besøker', kan du komme til den konklusjon at du bedre ikke vil installere utvidelsen basert på det. Siden det bare skal fungere på Facebook, er det ikke nødvendig å gi det vidtrekkende tillatelser til å se og manipulere data på alle nettsteder.
Dette er imidlertid bare en indikator, men hvis du bruker sunn fornuft, kan du kanskje unngå å installere problematiske utvidelser. Vanligvis er det et alternativ tilgjengelig som tilbyr lignende funksjonalitet, men uten omfattende tillatelsesforespørsler.
Det kan være lurt å sjekke disse tillatelsene for alle installerte utvidelser også. Last inn chrome: // extensions / og klikk på detaljelinken under hver utvidelse. Dette viser alle tillatelsesforespørsler for den utvidelsen igjen som en popup i nettleseren.
Del 4: Personvernreglene
Forutsatt at utvidelsen lenker til en side om personvernregler, kan du finne informasjon i den som avslører om brukere blir sporet av den eller ikke. Dette vil ikke fungere glemmelig for direkte ondsinnede utvidelser.
Hvis du for eksempel sjekker ut Fairshare-personvernreglene som er koblet fra utvidelser som Hover Zoom, finner du følgende passasje i den:
Selskapet kan bruke nettleserkaker, nett- og DOM-lagringsdata, Adobe Flash-informasjonskapsler, piksler, beacons og andre sporings- og datainnsamlingsteknologier, som kan inneholde en anonym, unik identifikator.
Disse teknologiene kan brukes til å samle og lagre informasjon om din bruk av tjenestene, inkludert uten begrensning, websider, funksjoner og innhold du har tilgang til, søket du har kjørt, henvisning til URL-informasjon, lenker du har klikket på, og annonser du har sett.
Disse dataene brukes til forretningsformål, for eksempel å tilby mer relevante annonser og innhold og markedsundersøkelser
Del 5: Kildekoden
Å gå gjennom kildekoden kan være det beste alternativet du må finne ut om en utvidelse sporer deg eller er ondsinnet.
Dette er kanskje ikke så teknisk som det høres ut, og det er ofte mulig å bestemme det med rudimentære HTML- og JavaScript-ferdigheter.
Det første du trenger er en utvidelse som lar deg hente kildekoden til en utvidelse uten å installere den. Chrome-utvidelseskildekilden er en open source-utvidelse for Chrome som hjelper deg med det.
Et alternativ til det er å kjøre Chrome i et sandkasset miljø, installere utvidelser i det for å få tilgang til filene deres.
Hvis du bruker utvidelseskildevisningen, kan du klikke på crx-ikonet i adressefeltet i Chrome's Web Store for å laste ned utvidelsen som en zip-fil eller se kilden med en gang i nettleseren.
Du kan ignorere alle .css- og bildefiler med en gang. Filer som du bør se nærmere på, har vanligvis .js- eller .json-utvidelsen.
Du kan sjekke manifest.json-filen først og sjekke value_security_policy-verdien for å se en liste over domener der, men det er vanligvis ikke nok.
Noen utvidelser bruker åpenbare navn for sporing av filer, for eksempel annonser slik at det kan være lurt å starte der.
Du kan ikke være i stand til å si om du ikke kjenner JavaScript, men om det ikke er tilfelle.
Nå du : Kjører du Chrome-utvidelser? Har du bekreftet dem før installasjonen?