Quanto sono a rischio le estensioni di Chrome più diffuse?

20

Sto per passare a Chromium e ho installato un paio di estensioni. Ogni volta che ho installato un'estensione, sono stato informato di quali dati ha accesso l'estensione, ad esempio:

inserisci qui la descrizione dell'immagine

Comprendo che l'accesso a tali dati è necessario per il funzionamento dell'estensione, tuttavia sono un po 'preoccupato che un giorno tale estensione potrebbe decidere di aggiornare e rubare ("telefono a casa") tutti i miei dati di navigazione.

Un altro esempio di messaggio spaventoso (quando si abilitano le estensioni per le finestre di navigazione in incognito):

Avviso: Chromium non può impedire alle estensioni di registrare la cronologia di navigazione. Per disabilitare questa estensione in modalità di navigazione in incognito, deseleziona questa opzione.

È una possibile minaccia quando si utilizzano le estensioni di Chrome più diffuse? È un po 'spaventoso dover fidarsi di un'altra parte per ogni nuova funzione che aggiungi al browser.

security  google-chrome-extensions 
htorque
fonte
Una questione collegata su Stack Overflow: stackoverflow.com/questions/249106/...
LeopardSkinPillBoxHat

Risposte:

25

Stai dimenticando quanto segue:

Più un'estensione è popolare, minore è la possibilità che nessuno si accorga che il componente aggiuntivo fa qualcosa di dannoso.

Al contrario, se installi un'estensione che nessun altro ha usato prima, rischi di più, diciamo, dell'installazione di AdBlock. Considerando che così tante persone lo stanno usando, è quasi sicuro dire: qualcuno avrebbe notato un traffico insolito.

In effetti, tutte le estensioni rivelano il loro codice sorgente, quindi chiunque potrebbe sostanzialmente andare avanti e cercare qualcosa di sospetto.

Gli avvisi sono lì, quindi non puoi incolpare i fornitori del browser per eventuali danni, nel caso in cui installi qualcosa che va male ai tuoi dati. Leggi sempre le recensioni dei componenti aggiuntivi che ti sembrano sospetti prima di installarli.

Si noti inoltre che, ad esempio, Google può controllare gli invii:

Sebbene Google non sia obbligata a monitorare i Prodotti o i loro contenuti, Google può in qualsiasi momento rivedere o testare i Prodotti e il loro codice sorgente per la conformità al presente Accordo, alle Norme del programma Google Chrome Web Store e a qualsiasi altro termine, obbligo, legge applicabile o regolamenti e possono utilizzare mezzi automatizzati per condurre tale revisione

La rimozione di un'estensione può ovviamente causare problemi allo sviluppatore.

slhck
fonte
2
Quindi le estensioni potrebbero raccogliere e rispedire i miei dati, ma è meno probabile con quelli popolari in quanto il codice sorgente è disponibile al pubblico.
htorque,
1
@htorque Un'estensione potrebbe farlo, sì - ma data la natura delle cose, se ci sono più persone a cui prestare attenzione, le possibilità che accada qualcosa di brutto sono minori.
slhck,
3
Potrebbero esserci ragioni "legittime" per inviare i dati ai loro server. In tal caso, è improbabile che si tratti di una grande notizia se qualcuno scopre che lo fanno.
Stefano Palazzo,
1
@Stefano Ovviamente è giusto. Ehi, alcune estensioni non funzionerebbero nemmeno senza.
slhck,
1
Sì, più occhi di solito sono migliori. Sfortunatamente, significa anche che più persone lo usano, più persone presumeranno che qualcun altro si occuperà di controllarlo e non farlo da solo, il che si traduce in un senso gonfiato e artificiale di sicurezza. :-(
Synetech,
9

È una dura valutazione del rischio da provare. La popolarità porta due cose:

  • Altre persone che cercano di migliorarlo (individuando codice errato)
  • Sempre più persone cercano di hackerarlo (e introdurre un codice errato) per attaccare una base di utenti più grande

Supponiamo che per questi esempi stiamo parlando di un progetto open source con codice ospitato in qualcosa come github.

Se qualcosa ha uno sviluppatore, è solo una persona che controlla il codice. Se qualcuno (non lo sviluppatore) vuole aggiungere codice a quello, deve o ingannare lo sviluppatore nell'aggiunta di una patch dannosa (succede) o indirizzare l'autenticazione dello sviluppatore in modo da poter aggiungere il codice stesso (succede anche). La possibilità che uno di questi eventi accada dipende dalle capacità dello sviluppatore e dalla loro sicurezza.

Se ci sono 10 sviluppatori, il numero di vettori di attacco è 10 volte maggiore. Ma anche 10 volte più persone che potrebbero individuare il codice.

Sono sicuro che ci sia un punto in un progetto in cui guadagna abbastanza slancio per consentire alle persone di eseguire regolari controlli di sicurezza sul suo codice. Ma in qualsiasi momento prima, sono altalene e rotonde.

tl; dr Ci sono troppe difficoltà per realisticamente elaborare. Ci sono troppi elementi umani. Se è importante, non fidarti, a meno che tu non possa verificare tu stesso il codice.

oli
fonte
+1, anche una spiegazione molto bella.
slhck,
2
Bene, mi fido già di centinaia di hacker del kernel ... è solo strano "investire" la fiducia in terze parti aggiuntive per semplici funzioni del browser come il supporto dei gesti del mouse (perché una tale estensione ha la possibilità di contattare il mondo esterno in primo luogo ?).
htorque,
Il secondo punto di Oli è esattamente il motivo per cui l'insistenza degli utenti Linux e Mac sul fatto che le loro piattaforme siano superiori e più sicure rispetto a Windows sia errata. La maggior parte degli hacker non si preoccupa di hackerare Linux o Mac perché non c'è abbastanza ricompensa nel farlo. Se ci fossero, il numero di exploit esploderebbe (forse non alto come Windows, ma comunque ...) È lo stesso con qualsiasi software, comprese le estensioni. Più è popolare, più incentivi ci sono per hackerarlo. (Guarda il numero crescente di hack di Facebook / Twitter / ecc.)
Synetech,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.