Pagina principal Seguridad ¿Qué tan segura es Chrome Web Store de todos modos?

¿Qué tan segura es Chrome Web Store de todos modos?

  • Owen Little
  • 0
  • 2224
  • 64
Anuncio

Alrededor del 33% de todos los usuarios de Chromium tienen algún tipo de complemento de navegador instalado. En lugar de ser un nicho, la tecnología de punta utilizada exclusivamente por usuarios avanzados, los complementos son positivamente convencionales, y la mayoría proviene de Chrome Web Store y Firefox Add-Ons Marketplace.

Pero qué tan seguros están?

Según la investigación que se presentará en el Simposio de IEEE sobre seguridad y privacidad, la respuesta es No muy. El estudio financiado por Google encontró que decenas de millones de usuarios de Chrome tienen instalada una variedad de malware basado en complementos, que representa el 5% del tráfico total de Google.

La investigación resultó en la eliminación de casi 200 complementos de Chrome App Store y cuestionó la seguridad general del mercado..

Entonces, ¿qué está haciendo Google para mantenernos a salvo y cómo puede detectar un complemento no autorizado? descubrí.

De dónde provienen los complementos

Llámalos como quieras: extensiones de navegador, complementos o complementos, todos vienen del mismo lugar. Desarrolladores independientes que producen productos que consideran que satisfacen una necesidad o resuelven un problema..

Los complementos del navegador generalmente se escriben utilizando tecnologías web, como HTML, CSS y JavaScript. ¿Qué es JavaScript y si Internet puede existir sin él? ¿Qué es JavaScript, y puede existir Internet sin él? JavaScript es una de esas cosas que muchos dan por sentado. Todos lo usan. , y generalmente están diseñados para un navegador específico, aunque hay algunos servicios de terceros que facilitan la creación de complementos de navegador multiplataforma.

Una vez que un complemento ha alcanzado un nivel de finalización y se prueba, se libera. Es posible distribuir un complemento de forma independiente, aunque la gran mayoría de los desarrolladores optan por distribuirlos a través de las tiendas de extensiones de Mozilla, Google y Microsoft.

Aunque, antes de que toque la computadora de un usuario, debe probarse para garantizar que sea seguro de usar. Así es como funciona en Google Chrome App Store.

Mantener Chrome seguro

Desde la presentación de una extensión hasta su eventual publicación, hay una espera de 60 minutos. ¿Qué pasa aquí? Bueno, detrás de escena, Google se asegura de que el complemento no contenga ninguna lógica maliciosa, ni nada que pueda comprometer la privacidad o seguridad de los usuarios..

Este proceso se conoce como 'Validación de artículo mejorada' (IEV) y es una serie de controles rigurosos que examinan el código de un complemento y su comportamiento cuando está instalado, para identificar malware.

Google también ha publicado una 'guía de estilo' que les dice a los desarrolladores qué comportamientos están permitidos y desalienta expresamente a otros. Por ejemplo, está prohibido usar JavaScript en línea (JavaScript que no está almacenado en un archivo separado) para mitigar el riesgo de ataques de scripting entre sitios What's Scripting entre sitios (XSS) y por qué es una amenaza de seguridad -Site Scripting (XSS), y por qué es una amenaza de seguridad Las vulnerabilidades de scripting entre sitios son el mayor problema de seguridad del sitio web hoy en día. Los estudios han encontrado que son sorprendentemente comunes: el 55% de los sitios web contenían vulnerabilidades XSS en 2011, según el último informe de White Hat Security, publicado en junio ... .

Google también desaconseja fuertemente el uso de 'eval', que es una construcción de programación que permite que el código ejecute código, y puede introducir todo tipo de riesgos de seguridad. Tampoco están muy interesados ​​en los complementos que se conectan a servicios remotos que no son de Google, ya que esto plantea el riesgo de un ataque Man-In-The-Middle (MITM) ¿Qué es un ataque Man-in-the-Middle? La jerga de seguridad explicada ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad Si ha oído hablar de ataques de "hombre en el medio" pero no está muy seguro de lo que eso significa, este es el artículo para usted. .

Estos son pasos simples, pero en su mayor parte son efectivos para mantener a los usuarios seguros. Javvad Malik, defensor de seguridad de Alienware, cree que es un paso en la dirección correcta, pero señala que el mayor desafío para mantener a los usuarios seguros es un problema de educación.

“Hacer la distinción entre software bueno y malo es cada vez más difícil. Parafraseando, el software legítimo de un hombre es otro virus malicioso que roba la identidad y compromete la privacidad codificado en las entrañas del infierno..

“No me malinterpreten, agradezco el movimiento de Google para eliminar estas extensiones maliciosas; algunas de ellas nunca deberían haberse hecho públicas para empezar. Pero el desafío para compañías como Google es controlar las extensiones y definir los límites de lo que es un comportamiento aceptable. Una conversación que se extiende más allá de una seguridad o tecnología y una pregunta para la sociedad que usa Internet en general.”

Google tiene como objetivo garantizar que los usuarios estén informados sobre los riesgos asociados con la instalación de complementos del navegador. Cada extensión en Google Chrome App Store es explícita sobre los permisos requeridos, y no puede exceder los permisos que le otorga. Si una extensión solicita hacer cosas que parecen inusuales, entonces hay motivos para sospechar.

Pero ocasionalmente, como todos sabemos, el malware se escapa.

Cuando Google se equivoca

Google, sorprendentemente, mantiene un barco bastante apretado. No se les escapa mucho el reloj, al menos cuando se trata de Google Chrome Web Store. Cuando algo lo hace, sin embargo, es malo.

  • AddToFeedly era un complemento de Chrome que permitía a los usuarios agregar un sitio web a su lector RSS de Feedly Feedly, revisado: ¿Qué lo hace un reemplazo tan popular de Google Reader? Feedly, revisado: ¿Qué lo convierte en un reemplazo tan popular de Google Reader? Ahora que Google Reader no es más que un recuerdo lejano, la lucha por el futuro de RSS está realmente en marcha. Uno de los productos más notables que luchan en la buena batalla es Feedly. Google Reader no era una ... suscripciones. Comenzó como un producto legítimo lanzado por un desarrollador aficionado, pero fue comprado por una suma de cuatro cifras en 2014. Los nuevos propietarios luego agregaron el complemento con el adware SuperFish, que inyectó publicidad en páginas y generó ventanas emergentes. SuperFish ganó notoriedad a principios de este año cuando se supo que Lenovo lo había estado enviando con todas sus computadoras portátiles de Windows de gama baja. que las computadoras portátiles enviadas a tiendas y consumidores a fines de 2014 tenían malware preinstalado. .
  • WebPage Screenshot permite a los usuarios capturar una imagen de la totalidad de una página web que están visitando, y se ha instalado en más de 1 millón de computadoras. Sin embargo, también ha estado transmitiendo información del usuario a una sola dirección IP en los Estados Unidos. Los propietarios de WebPage Screenshot han negado cualquier irregularidad e insisten en que era parte de sus prácticas de garantía de calidad. Google lo ha eliminado desde Chrome Web Store.
  • Adicionar Ao Google Chrome fue una extensión maliciosa que secuestró cuentas de Facebook 4 cosas que hacer inmediatamente cuando se piratea su cuenta de Facebook 4 cosas que hacer inmediatamente cuando se piratea su cuenta de Facebook ¿Se pregunta qué hacer si su cuenta de Facebook fue pirateada? Le ayudaremos a resolver esta pesadilla para recuperar su cuenta de Facebook. y compartió estados, publicaciones y fotos no autorizadas. El malware se propagó a través de un sitio que imitaba a YouTube y les decía a los usuarios que instalaran el complemento para ver videos. Google ha eliminado desde entonces el complemento.

Dado que la mayoría de las personas usan Chrome para hacer la gran mayoría de sus tareas informáticas, es preocupante que estos complementos se hayan escapado. Pero al menos había un procedimiento fallar Cuando instalas extensiones desde otro lugar, no estás protegido.

Al igual que los usuarios de Android pueden instalar cualquier aplicación que deseen, Google le permite instalar cualquier extensión de Chrome que desee Cómo instalar extensiones de Chrome manualmente Cómo instalar extensiones de Chrome manualmente Google recientemente decidió desactivar la instalación de extensiones de Chrome desde sitios web de terceros, pero algunos los usuarios aún desean instalar estas extensiones. Aquí te explicamos cómo hacerlo. , incluidos los que no provienen de Chrome Web Store. Esto no es solo para dar a los consumidores un poco más de opciones, sino para permitir a los desarrolladores probar el código en el que han estado trabajando antes de enviarlo para su aprobación.

Sin embargo, es importante recordar que cualquier extensión que se instale manualmente no ha pasado por los rigurosos procedimientos de prueba de Google y puede contener todo tipo de comportamientos indeseables..

¿Qué riesgo tiene usted??

En 2014, Google superó a Internet Explorer de Microsoft como el navegador web dominante, y ahora representa casi el 35% de los usuarios de Internet. Como resultado, para cualquiera que busque ganar dinero rápidamente o distribuir malware, sigue siendo un objetivo tentador.

Google, en su mayor parte, ha podido hacer frente. Ha habido incidentes, pero han sido aislados. Cuando el malware ha logrado filtrarse, lo han solucionado de manera conveniente y con la profesionalidad que esperarías de Google.

Sin embargo, está claro que las extensiones y los complementos son un vector de ataque potencial. Si planea hacer algo sensible, como iniciar sesión en su banca en línea, es posible que desee hacerlo en un navegador separado y sin complementos o en una ventana de incógnito. Y si tiene alguna de las extensiones mencionadas anteriormente, escriba Chrome: // extensiones / en su barra de direcciones de Chrome, luego búsquelas y elimínelas, solo para estar seguro.

¿Alguna vez has instalado accidentalmente algún malware de Chrome? Vivir para contar la historia? Quiero escuchar al respecto. Déjame un comentario a continuación y chatearemos.

Créditos de imagen: Martillo sobre vidrio roto Via Shutterstock




Nadie ha comentado sobre este artículo todavía.

Apple mata la aplicación que te ayuda a encontrar tus Airpods
Noticias tecnológicas
Tidal sube la apuesta para atraer a los audiófilos
Noticias tecnológicas
Internet Archive Fact-Checks Presidente Trump
Noticias tecnológicas
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.