Czystki w Chrome Web Store: usunięto ponad 190 niebezpiecznych dodatków

Korzystacie z przeglądarki Google Chrome i uważacie, że firma ją tworząca w sposób odpowiedni dba o zabezpieczenie tak jej, jak i dodatków z nim związanych? Czas zrewidować swoje poglądy. Google poinformowało o porządkach poczynionych w Chrome Web Store. Jak się okazuje, wiele z dodatków dostępnych tam od dawna było szkodliwych i naraziło kilka milionów osób na wyciek informacji.

Czystki w Chrome Web Store: usunięto ponad 190 niebezpiecznych dodatków
Redakcja

01.04.2015 14:53

Od początku roku Google otrzymało od użytkowników ponad 100 tysięcy zgłoszeń dotyczących programów, które wklejają w przeglądane przez nich strony reklamy. Często odbywa się to na stronach wyszukiwarki, w innych sytuacjach reklamy są doklejane na stronach przeglądanych sklepów, podobnie jak miało to miejsce w przypadku dodatku Superfish instalowanego na komputerach marki Lenovo. Winni są nie twórcy stron, lecz twórcy m.in. dodatków do przeglądarek zachowujących się w taki sposób, a także niewystarczająca ich kontrola. Podobnie jak sklep Play na Androidzie, tak samo Chrome Web Store nie można uznać za źródła bezpieczne i zawierające jedynie zaufane dodatki.

Obraz

Badanie przeprowadzone przez Google wraz z naukowcami z Uniwersytetu Kalifornijskiego w Berkeley wykazały, że około 34% rozszerzeń zainstalowanych w Chrome wkleja reklamy bez pytania użytkownika o zgodę i można je zakwalifikować jako malware. Aż 192 rozszerzenia okazały się działać niezgodnie z regulaminem sklepu. Choć zostały już z niego usunięte, naraziły na szwank 14 milionów użytkowników. Warto zauważyć, że Google nie ma nic przeciwko dodatkom dodającym na stronach reklamy. Jako firma budująca swoją potęgę na reklamach rozumie takie działanie, ale zastrzega, że użytkownik powinien być o tym fakcie powiadamiany. Jeżeli reklamy są doklejane bez jego wiedzy, dodatek należy sklasyfikować jako szkodliwe oprogramowanie. Problem stanowi jednak kontrola rozszerzeń, które trafiają do oficjalnego repozytorium.

Jak bardzo jest ona istotna pokazują nawet bezpieczne dodatki blokujące reklamy: mogą analizować ruch sieciowy, są w stanie parsować witrynę, a co za tym idzie, podmieniać jej treść i odczytywać dane na niej zawarte. Bez odpowiedniej kontroli, rozszerzenia mogą być źródłem ataku man-in-the-middle. Nawet korzystając z szyfrowanych połączeń jesteśmy wtedy bezsilni, bo dodatek działa w przeglądarce i robi w tle coś, o czym nie mamy żadnej wiedzy. Co prawda teoretycznie niemożliwe jest instalowanie w Chrome dodatków spoza oficjalnego sklepu, ale we wrześniu ubiegłego roku blokadę udało się obejść.

Może więc lepszym rozwiązaniem było wprowadzenie ręcznej akceptacji, podobnie jak ma to miejsce od niedawna na Androidzie? Rozszerzenia i aplikacje nie są skierowane jedynie dla przeglądarki. Stanowią one oprogramowanie dla systemu Chrome OS, a możliwość pobrania malware z oficjalnego źródła nie jest dobrą reklamą. Sensownym rozwiązaniem byłoby również wdrożenie mechanizmu podobnego do tego, nad którym właśnie pracuje Mozilla. Dodatki dla Firefoksa będą sprawdzane i podpisywane, bez podpisu ich natomiast nie zainstalujemy. Takie działanie może uchronić użytkowników przed natrętnymi reklamami, ale i poważniejszymi zagrożeniami.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (17)