r   e   k   l   a   m   a
r   e   k   l   a   m   a

Handel rozszerzeniami stał się poważnym zagrożeniem dla użytkowników Google Chrome

Strona główna AktualnościOPROGRAMOWANIE

Instalowanie rozszerzeń Chrome z oficjalnego sklepu Google'a w zamierzeniu producenta przeglądarki miało być bardzo łatwe i bardzo bezpieczne. Niewątpliwie pozostaje ono wciąż bardzo łatwe, ale z bezpieczeństwem przestało być już tak dobrze. Spamerzy i twórcy szkodliwego oprogramowania znaleźli oto sposób, by wykorzystać największe zalety mechanizmu rozszerzeń tej przeglądarki do własnych celów.

Największą zaletą rozszerzeń Chrome'a, w porównaniu do rozszerzeń Firefoksa, jest niemal całkowita automatyzacja procesu ich aktualizacji. Bez konieczności ingerencji użytkownika, pozwala on na pobranie najnowszych wersji rozszerzeń z Chrome Web Store, zainstalowanie ich i uruchomienie, bez konieczności restartowania przeglądarki, a nawet bez zauważalnych przerw w działaniu rozszerzeń. Co więcej, mechanizm aktualizacji dba o bezpieczeństwo użytkownika, żądając wyrażenia zgody na ewentualne zwiększenie uprawnień rozszerzenia w nowej wersji – jeśli zgoda taka nie będzie udzielona, rozszerzenie nie będzie aktywne. Od strony technicznej zabezpieczeniom rozszerzeń nie można za wiele zarzucić: format CRX (w zasadzie to lekko zmodyfikowany ZIP), w którym są one rozpowszechniane, zawiera w nagłówku pliku klucz publiczny jego autora i podpis weryfikujący zawartość archiwum, a samo Chrome Web Store przekazuje CRX-y po szyfrowanym połączeniu TLS.

Lukę udało się znaleźć od strony, jeśli można tak to określić, ludzkiej. Wykorzystano fakt, że instalując rozszerzenie użytkownik godzi się na to, że otrzyma napisany przez kogoś innego kod na swoją przeglądarkę. Weryfikacja rozszerzeń trafiających do Chrome Web Store pozwala oczywiście odsiać złośliwy kod – ale tylko na początku, przy debiucie rozszerzenia w sklepie. Kolejne aktualizacje to już tylko kwestia zaufania użytkownika do producenta dodatku. A co, jeśli aktualizujący rozszerzenie nie jest tą samą osobą, która je stworzyła? Nie ma najmniejszego problemu, by nawet całkiem popularne rozszerzenia kupić. Ich autorzy w ostatnich czasach zaczęli otrzymywać regularnie oferty kupna napisanych przez siebie dodatków. Jednym z nich jest Amit Agarwal, twórca rozszerzenia Add to Feedly, z którego korzystało około 30 tys. osób. Otrzymał on propozycję odkupienia swojego rozszerzenia za czterocyfrową kwotę. Gdy pieniądze zmieniły właścicieli za pomocą PayPala, przekazał on kontrolę nad napisanym rozszerzeniem na inne konto w Google.

Miesiąc później nowy właściciel rozszerzenia wydał pierwszą jego aktualizację. Przynosiła ona całkiem „interesujące” innowacje: wstrzykiwała w strony internetowe reklamy i przekierowywała linki. Mechanizm aktualizacji Chrome po cichu zainstalował ją u wszystkich 30 tysięcy użytkowników rozszerzenia. Mechanizm chroniący przed poszerzeniami uprawnień rozszerzeń na niewiele się zdał – aktualizacja i tak miała już do dyspozycji wszystko, czego potrzebowała. Większość rozszerzeń Chrome ma bowiem prawo do dostępu do danych użytkownika na wszystkich stronach WWW, a to pozwala na działania w stylu przekierowywania linków czy wstrzykiwania reklam.

Co gorsze dla użytkowników Chrome, złośliwa aktualizacja nie ograniczy się tylko do jednego komputera, lecz dotknie zwykle wszystkie podłączone do danego Konta Google instancje przeglądarki. Skasowanie i reinstalacja Chrome powodują tylko reinstalację pakietu rozszerzeń. Na początku zresztą trudno ustalić, że problem tkwi w Chrome – skanery oprogramowania zabezpieczającego nie traktują JavaScriptu w rozszerzeniach Chrome jako potencjalnego zagrożenia. Jak można się też spodziewać, same rozszerzenia nie mają też zwykle dzienników zmian, a nawet jeśli by miały, to nowi właściciele raczej nie będą się w nich chwalić, że oto poprzez aktualizację zamienili nam przeglądarkę WWW w przeglądarkę reklam.

Najsmutniejsze w tym wszystkim jest to, że sami użytkownicy wyraźnie nie wiedzą, co mogą w tej sytuacji zrobić. Być może wielu nawet nie wie o istnieniu strony chrome://extensions, w której mogą złośliwe rozszerzenie odinstalować (o ile ustalą już, że to o rozszerzenie chodzi). W wypadku wspomnianego Add to Feedly, mimo licznych komentarzy w Chrome Web Store sygnalizujących problem, liczba jego użytkowników wcale nie malała, a wręcz przeciwnie – kilka dni temu przekroczyła 31,5 tysiąca. W tym konkretnym wypadku pomogła dopiero interwencja administratorów Google'a, którzy ręcznie usunęli rozszerzenie ze sklepu.

Najprostszym rozwiązaniem tego problemu byłoby wprowadzenie mechanizmu domyślnie blokującego rozszerzenie w sytuacji, gdy kontrola nad nim zostałaby przekazana na inne konto Google. I to jednak można obejść, choćby przez kupowanie całych Kont Google'a, z powiązanymi z nimi rozszerzeniami. Docelowo konieczne jest więc przemyślenie całego modelu zaufania dla aktualizacji. Zmiany regulaminu niewiele tu pomogą, gdyż ani nikt nie jest w stanie zabronić deweloperom sprzedaży swoich rozszerzeń (jeśli zechcą, to i tak znajdą na to sposób), ani też spamerzy i twórcy złośliwego oprogramowania nie będą się specjalnie przejmowali tym, co akurat zostało przez Google zakazane. W tej grze chodzi bowiem o szybki zarobek, ze świadomością, że wcześniej czy później dane rozszerzenie zostanie usunięte czy zablokowane. Później zawsze przecież można kupić następne.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.