Anuncio

Alrededor del 33% de todos los usuarios de Chromium tienen algún tipo de complemento de navegador instalado. En lugar de ser un nicho, la tecnología de punta utilizada exclusivamente por usuarios avanzados, los complementos son positivamente convencionales, y la mayoría proviene de Chrome Web Store y Firefox Add-Ons Marketplace.

¿Pero qué tan seguros están?

Según estudios debido a ser presentado en el Simposio IEEE sobre seguridad y privacidad, la respuesta es No muy. El estudio financiado por Google encontró que decenas de millones de usuarios de Chrome tienen instalada una variedad de malware basado en complementos, que representa el 5% del tráfico total de Google.

La investigación resultó en la eliminación de casi 200 complementos de Chrome App Store y puso en tela de juicio la seguridad general del mercado.

Entonces, ¿qué está haciendo Google para mantenernos a salvo y cómo puede detectar un complemento no autorizado? Descubrí.

De dónde provienen los complementos

Llámalos como quieras: extensiones de navegador, complementos o complementos, todos vienen del mismo lugar. Desarrolladores independientes que producen productos que consideran que satisfacen una necesidad o resuelven un problema.

instagram viewer

extensiones de cromo

Los complementos del navegador generalmente se escriben utilizando tecnologías web, como HTML, CSS, y JavaScript ¿Qué es JavaScript, y puede existir Internet sin él?JavaScript es una de esas cosas que muchos dan por sentado. Todos lo usan. Lee mas , y generalmente se crean para un navegador específico, aunque existen algunos servicios de terceros que facilitan la creación de complementos de navegador multiplataforma.

Una vez que un complemento ha alcanzado un nivel de finalización y se prueba, se libera. Es posible distribuir un complemento de forma independiente, aunque la gran mayoría de los desarrolladores optan por distribuirlos a través de las tiendas de extensiones de Mozilla, Google y Microsoft.

Aunque, antes de que toque la computadora de un usuario, debe probarse para garantizar que sea seguro de usar. Así es como funciona en Google Chrome App Store.

Mantener Chrome seguro

Desde la presentación de una extensión hasta su eventual publicación, hay una espera de 60 minutos. ¿Qué pasa aquí? Bueno, detrás de escena, Google se asegura de que el complemento no contenga ninguna lógica maliciosa, ni nada que pueda comprometer la privacidad o seguridad de los usuarios.

Este proceso se conoce como "Validación mejorada de elementos" (IEV), y es una serie de controles rigurosos que examinan el código de un complemento y su comportamiento cuando está instalado, para identificar malware.

Google también tiene publicó una "guía de estilo" que le dice a los desarrolladores qué comportamientos están permitidos y desalienta expresamente a otros. Por ejemplo, está prohibido usar JavaScript en línea (JavaScript que no está almacenado en un archivo separado) para mitigar el riesgo ataques de secuencias de comandos entre sitios ¿Qué es la secuencia de comandos entre sitios (XSS) y por qué es una amenaza para la seguridad?Las vulnerabilidades de secuencias de comandos entre sitios son el mayor problema de seguridad del sitio web en la actualidad. Los estudios han encontrado que son sorprendentemente comunes: el 55% de los sitios web contenían vulnerabilidades XSS en 2011, según el último informe de White Hat Security, publicado en junio ... Lee mas .

código de extensiones

Google también desaconseja encarecidamente el uso de "eval", que es una construcción de programación que permite que el código ejecute código y puede introducir todo tipo de riesgos de seguridad. Tampoco están muy interesados ​​en los complementos que se conectan a servicios remotos que no son de Google, ya que esto plantea el riesgo de un Ataque Man-In-The-Middle (MITM) ¿Qué es un ataque de hombre en el medio? Jerga de seguridad explicadaSi has oído hablar de ataques de "hombre en el medio" pero no estás muy seguro de lo que eso significa, este es el artículo para ti. Lee mas .

Estos son pasos simples, pero en su mayor parte son efectivos para mantener a los usuarios seguros. Javvad Malik, Defensor de Seguridad de Alienware, cree que es un paso en la dirección correcta, pero señala que el mayor desafío para mantener a los usuarios seguros es un problema de educación.

“Hacer la distinción entre software bueno y malo es cada vez más difícil. Parafraseando, el software legítimo de un hombre es otro virus malicioso que roba la identidad y compromete la privacidad codificado en las entrañas del infierno.

"No me malinterpreten, agradezco el movimiento de Google para eliminar estas extensiones maliciosas; algunas de ellas nunca deberían haberse hecho públicas para empezar. Pero el desafío para compañías como Google es controlar las extensiones y definir los límites de cuál es el comportamiento aceptable. Una conversación que se extiende más allá de una seguridad o tecnología y una pregunta para la sociedad que usa Internet en general ".

Google tiene como objetivo garantizar que los usuarios estén informados sobre los riesgos asociados con la instalación de complementos del navegador. Cada extensión en Google Chrome App Store es explícita sobre los permisos requeridos, y no puede exceder los permisos que le otorga. Si una extensión solicita hacer cosas que parecen inusuales, entonces hay motivos para sospechar.

Pero ocasionalmente, como todos sabemos, el malware se escapa.

Cuando Google se equivoca

Google, sorprendentemente, mantiene un barco bastante apretado. No se les escapa mucho el reloj, al menos cuando se trata de Google Chrome Web Store. Cuando algo sucede, sin embargo, es malo.

  • AddToFeedly era un complemento de Chrome que permitía a los usuarios agregar un sitio web a su Lector RSS de Feedly Feedly, revisado: ¿Qué lo convierte en un reemplazo tan popular de Google Reader?Ahora que Google Reader no es más que un recuerdo lejano, la lucha por el futuro de RSS está realmente en marcha. Uno de los productos más notables que luchan en la buena batalla es Feedly. Google Reader no era un ... Lee mas suscripciones Comenzó su vida como un producto legítimo. lanzado por un desarrollador aficionado, pero fue comprado por una suma de cuatro cifras en 2014. Los nuevos propietarios luego agregaron el complemento con el adware SuperFish, que inyectó publicidad en las páginas y generó ventanas emergentes. SuperFish ganó notoriedad a principios de este año cuando ocurrió Lenovo lo había estado enviando con todas sus computadoras portátiles Windows de gama baja Tenga cuidado con los propietarios de portátiles Lenovo: su dispositivo puede tener malware preinstaladoEl fabricante chino de computadoras Lenovo admitió que las computadoras portátiles enviadas a las tiendas y a los consumidores a fines de 2014 tenían malware preinstalado. Lee mas .
  • Captura de pantalla de la página web permite a los usuarios capturar una imagen de la totalidad de una página web que están visitando y se ha instalado en más de 1 millón de computadoras. Sin embargo, también ha estado transmitiendo información del usuario a una sola dirección IP en los Estados Unidos. Los propietarios de WebPage Screenshot han negado cualquier irregularidad e insisten en que era parte de sus prácticas de garantía de calidad. Google lo ha eliminado desde Chrome Web Store.
  • Adicionar Ao Google Chrome fue una extensión maliciosa que cuentas de Facebook secuestradas 4 cosas que hacer inmediatamente cuando su cuenta de Facebook fue pirateadaSi sospecha que su cuenta de Facebook ha sido pirateada, esto es lo que debe hacer para averiguar y recuperar el control. Lee mas y compartió estados, publicaciones y fotos no autorizadas. El malware se propagó a través de un sitio que imitaba a YouTube y les decía a los usuarios que instalaran el complemento para ver videos. Google desde entonces ha eliminado el complemento.

Dado que la mayoría de las personas usan Chrome para hacer la gran mayoría de sus tareas informáticas, es preocupante que estos complementos hayan podido pasar por alto. Pero al menos había un procedimiento fallar Cuando instala extensiones desde otro lugar, no está protegido.

Al igual que los usuarios de Android pueden instalar cualquier aplicación que deseen, Google te permite instale cualquier extensión de Chrome que desee Cómo instalar extensiones de Chrome manualmenteGoogle recientemente decidió deshabilitar la instalación de extensiones de Chrome desde sitios web de terceros, pero algunos usuarios aún desean instalar estas extensiones. Aquí te explicamos cómo hacerlo. Lee mas , incluidos los que no provienen de Chrome Web Store. Esto no es solo para darles a los consumidores más opciones, sino para permitirles a los desarrolladores probar el código en el que han estado trabajando antes de enviarlo para su aprobación.

manual de extensiones

Sin embargo, es importante recordar que cualquier extensión que se instale manualmente no ha pasado por los rigurosos procedimientos de prueba de Google y puede contener todo tipo de comportamiento indeseable.

¿Cómo estás en riesgo?

En 2014, Google superó a Internet Explorer de Microsoft como el navegador web dominante, y ahora representa casi el 35% de los usuarios de Internet. Como resultado, para cualquiera que busque ganar dinero rápidamente o distribuir malware, sigue siendo un objetivo tentador.

Google, en su mayor parte, ha podido hacer frente. Ha habido incidentes, pero han sido aislados. Cuando el malware ha logrado escapar, lo han solucionado de manera expedita y con la profesionalidad que esperarías de Google.

Sin embargo, está claro que las extensiones y los complementos son un vector de ataque potencial. Si planea hacer algo sensible, como iniciar sesión en su banca en línea, es posible que desee hacerlo en un navegador separado y sin complementos o en una ventana de incógnito. Y si tiene alguna de las extensiones mencionadas anteriormente, escriba Chrome: // extensiones / en la barra de direcciones de Chrome, luego búsquelos y elimínelos, solo para estar seguro.

¿Alguna vez has instalado accidentalmente algún malware de Chrome? Vivir para contar la historia? Quiero oír hablar de eso. Déjame un comentario a continuación y chatearemos.

Créditos de imagen: Martillo sobre vidrio roto Via Shutterstock

Matthew Hughes es un desarrollador y escritor de software de Liverpool, Inglaterra. Raramente se lo encuentra sin una taza de café negro fuerte en la mano y adora absolutamente su Macbook Pro y su cámara. Puedes leer su blog en http://www.matthewhughes.co.uk y síguelo en Twitter en @matthewhughes.