¿Qué tan seguro es el Chrome Web Store de todos modos?
Alrededor del 33% de todos los usuarios de Chromium tienen algún tipo de complemento de navegador instalado. En lugar de ser un nicho, la tecnología de borde utilizada exclusivamente por los usuarios avanzados, los complementos son positivamente de uso general, y la mayoría proviene de Chrome Web Store y Firefox Add-Ons Marketplace..
Pero que tan seguros son?
Según la investigación que se presentará en el Simposio IEEE sobre Seguridad y Privacidad, la respuesta es No muy. El estudio financiado por Google descubrió que decenas de millones de usuarios de Chrome tienen una variedad de programas maliciosos basados en complementos instalados, lo que representa el 5% del tráfico total de Google.
La investigación dio como resultado que se eliminaron casi 200 complementos de la tienda de aplicaciones de Chrome y se cuestionó la seguridad general del mercado..
Entonces, ¿qué está haciendo Google para mantenernos seguros y cómo puede detectar un complemento no autorizado? descubrí.
De dónde vienen los complementos
Llámalos como quieras, extensiones de navegador, complementos o complementos, todos vienen del mismo lugar. Desarrolladores independientes, terceros que producen productos que consideran que satisfacen una necesidad o resuelven un problema.
Los complementos del navegador generalmente se escriben utilizando tecnologías web, como HTML, CSS y JavaScript. ¿Qué es JavaScript, y puede existir Internet sin él? ¿Qué es JavaScript, y puede existir Internet sin él? JavaScript es una de esas cosas que muchos dan por sentado. Todo el mundo lo usa. Lea más, y generalmente están diseñados para un navegador específico, aunque hay algunos servicios de terceros que facilitan la creación de complementos de navegador multiplataforma.
Una vez que un complemento ha alcanzado un nivel de finalización y se prueba, se libera. Es posible distribuir un complemento de forma independiente, aunque la gran mayoría de los desarrolladores eligen distribuirlos a través de las tiendas de extensiones de Mozilla, Google y Microsoft..
Aunque, antes de que toque la computadora de un usuario, debe probarse para garantizar su uso seguro. Así es como funciona en la tienda de aplicaciones de Google Chrome.
Manteniendo Chrome Safe
Desde la presentación de una extensión, hasta su publicación final, hay una espera de 60 minutos. ¿Qué pasa aquí? Bueno, detrás de escena, Google se está asegurando de que el complemento no contenga ninguna lógica maliciosa, ni nada que pueda comprometer la privacidad o seguridad de los usuarios..
Este proceso se conoce como 'Validación de elementos mejorados' (IEV) y es una serie de comprobaciones rigurosas que examinan el código de un complemento y su comportamiento cuando se instala, para identificar el malware..
Google también ha publicado una 'guía de estilo' que le dice a los desarrolladores qué comportamientos están permitidos, y desalienta expresamente a otros. Por ejemplo, está prohibido utilizar JavaScript en línea (JavaScript que no se almacena en un archivo separado) para mitigar el riesgo de ataques de secuencias de comandos entre sitios ¿Qué es la secuencia de comandos entre sitios (XSS) y por qué es una amenaza de seguridad? - Las secuencias de comandos de sitios (XSS), y por qué es una amenaza para la seguridad Las vulnerabilidades de secuencias de comandos entre sitios son el mayor problema de seguridad de los sitios web en la actualidad. Los estudios han descubierto que son sorprendentemente comunes: el 55% de los sitios web contenían vulnerabilidades de XSS en 2011, según el último informe de White Hat Security, publicado en junio ... Leer más .
Google también desaconseja enérgicamente el uso de 'eval', que es un constructo de programación que permite que el código ejecute el código y puede introducir todo tipo de riesgos de seguridad. Tampoco están muy interesados en los complementos que se conectan a servicios remotos que no son de Google, ya que esto conlleva el riesgo de un ataque Man-In-The-Middle (MITM) ¿Qué es un ataque Man-in-the-Middle? Explicación de la jerga de seguridad ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad Si ha oído hablar de ataques "intermediarios" pero no está seguro de lo que eso significa, este es el artículo para usted. Lee mas .
Estos son pasos simples, pero en su mayor parte son efectivos para mantener a los usuarios seguros. Javvad Malik, defensor de la seguridad en Alienware, cree que es un paso en la dirección correcta, pero señala que el mayor desafío para mantener a los usuarios seguros es un problema de educación..
“Hacer la distinción entre software bueno y malo es cada vez más difícil. Parafraseando, el software legítimo de un hombre es otro virus malicioso que roba la identidad y compromete la privacidad codificado en las entrañas del infierno.
“No me malinterpretes, acojo con satisfacción la decisión de Google de eliminar estas extensiones malintencionadas, para empezar, algunas de ellas nunca deberían haberse hecho públicas. Pero el desafío que se avecina para compañías como Google es vigilar las extensiones y definir los límites de lo que es un comportamiento aceptable. Una conversación que se extiende más allá de la seguridad o la tecnología y una pregunta para la sociedad en general que usa Internet..”
Google apunta a garantizar que los usuarios estén informados sobre los riesgos asociados con la instalación de complementos del navegador. Cada extensión en la tienda de aplicaciones de Google Chrome es explícita acerca de los permisos requeridos y no puede exceder los permisos que usted le otorga. Si una extensión solicita hacer cosas que parecen inusuales, entonces tiene motivos para sospechar.
Pero ocasionalmente, como todos sabemos, el malware se desliza a través de.
Cuando Google se equivoca
Google, sorprendentemente, mantiene una nave bastante cerrada. No pasa mucho tiempo por delante de su reloj, al menos cuando se trata de la tienda web de Google Chrome. Cuando algo hace, sin embargo, es malo..
- AddToFeedly era un complemento de Chrome que permitía a los usuarios agregar un sitio web a su lector RSS de Feedly. Feedly, revisado: ¿Qué lo hace tan popular como el reemplazo de Google Reader? Feedly, revisado: ¿Por qué es tan popular el reemplazo de Google Reader? Ahora que Google Reader no es más que un recuerdo lejano, la lucha por el futuro de RSS está realmente en marcha. Uno de los productos más notables que lucha contra la buena lucha es Feedly. Google Reader no era una ... Leer más suscripciones. Comenzó su vida como un producto legítimo lanzado por un desarrollador aficionado, pero fue comprado por una suma de cuatro cifras en 2014. Luego, los nuevos propietarios vincularon el complemento con el software publicitario SuperFish, que inyectaba publicidad en las páginas y generaba ventanas emergentes. SuperFish ganó notoriedad a principios de este año cuando ocurrió que Lenovo lo había estado enviando con todas sus computadoras portátiles Windows de gama baja Propietarios de computadoras portátiles de Lenovo Cuidado: su dispositivo puede tener malware preinstalado Propietarios de computadora portátil de Lenovo que las computadoras portátiles enviadas a las tiendas y los consumidores a fines de 2014 tenían malware preinstalado. Lee mas .
- La captura de pantalla de la página web permite a los usuarios capturar una imagen de la totalidad de la página web que están visitando, y se ha instalado en más de 1 millón de computadoras. Sin embargo, también ha estado transmitiendo información del usuario a una única dirección IP en los Estados Unidos. Los propietarios de WebPage Screenshot han negado cualquier infracción e insisten en que era parte de sus prácticas de control de calidad. Google ya lo ha eliminado de Chrome Web Store.
- Adicionar Ao Google Chrome fue una extensión deshonesta que secuestró cuentas de Facebook 4 cosas que hacer inmediatamente cuando tu cuenta de Facebook es hackeada 4 cosas que hacer inmediatamente cuando tu cuenta de Facebook es hackeada Tener tu cuenta de Facebook hackeada es una pesadilla. Aquí se explica cómo proteger una cuenta de Facebook pirateada y contener el daño. Lea más, y compartió estados no autorizados, publicaciones y fotos. El malware se propagó a través de un sitio que imitaba a YouTube y les dijo a los usuarios que instalen el complemento para ver videos. Google ya ha eliminado el plugin.
Dado que la mayoría de la gente usa Chrome para hacer la mayor parte de su computación, es preocupante que estos complementos logren deslizarse por las grietas. Pero al menos había una procedimiento fallar Cuando instala extensiones desde otro lugar, no está protegido.
Al igual que los usuarios de Android pueden instalar cualquier aplicación que deseen, Google le permite instalar cualquier extensión de Chrome que desee. Cómo instalar manualmente las extensiones de Chrome Cómo instalar manualmente las extensiones de Chrome Google recientemente decidió deshabilitar la instalación de extensiones de Chrome desde sitios web de terceros, pero algunos Los usuarios todavía quieren instalar estas extensiones. Aquí está cómo hacerlo. Lea más, incluidos los que no provienen de Chrome Web Store. Esto no es solo para dar a los consumidores un poco de opción adicional, sino para permitir que los desarrolladores prueben el código en el que han estado trabajando antes de enviarlo para su aprobación..
Sin embargo, es importante recordar que cualquier extensión que se instale manualmente no ha pasado por los rigurosos procedimientos de prueba de Google y puede contener todo tipo de comportamiento indeseable..
¿Qué tan en riesgo está usted?
En 2014, Google superó a Internet Explorer de Microsoft como el navegador web dominante, y ahora representa casi el 35% de los usuarios de Internet. Como resultado, para cualquiera que busque ganar dinero o distribuir malware, sigue siendo un objetivo tentador..
Google, en su mayor parte, ha sido capaz de hacer frente. Ha habido incidentes, pero han sido aislados. Cuando el malware se ha deslizado, lo han solucionado de manera expedita y con la profesionalidad que usted espera de Google..
Sin embargo, está claro que las extensiones y los complementos son un posible vector de ataque. Si planea hacer algo sensible, como iniciar sesión en su banca en línea, es posible que desee hacerlo en un navegador separado, sin complementos o en una ventana de incógnito. Y si tiene alguna de las extensiones enumeradas anteriormente, escriba Chrome: // extensiones / en la barra de direcciones de Chrome, luego búscalos y elimínalos, solo para estar seguro.
¿Alguna vez has instalado accidentalmente algún malware de Chrome? ¿Vivir para contar la historia? Quiero escuchar al respecto. Déjame un comentario abajo, y charlaremos..
Créditos de la imagen: Martillo sobre vidrio roto Vía Shutterstock
Explora más acerca de: Google Chrome, Seguridad en línea.