Seberapa besar risiko ekstensi Chrome yang populer?

20

Saya akan beralih ke Chromium dan saya menginstal beberapa ekstensi. Setiap kali saya memasang ekstensi, saya diberi tahu data mana yang memiliki akses, misalnya:

masukkan deskripsi gambar di sini

Saya mengerti bahwa akses ke data itu diperlukan agar ekstensi berfungsi, namun saya agak khawatir ekstensi semacam itu suatu hari nanti akan memutuskan untuk memperbarui dan mencuri ("telepon rumah") semua data penelusuran saya.

Contoh lain dari pesan menakutkan (saat mengaktifkan ekstensi untuk jendela penyamaran):

Peringatan: Chromium tidak dapat mencegah ekstensi merekam riwayat penelusuran Anda. Untuk menonaktifkan ekstensi ini dalam mode penyamaran, batalkan pilihan ini.

Apakah itu ancaman yang mungkin terjadi ketika menggunakan ekstensi Chrome yang populer? Agak menakutkan untuk mempercayai pihak lain untuk setiap fungsi baru yang Anda tambahkan ke browser.

htorque
sumber
Sebuah pertanyaan terkait pada Stack Overflow: stackoverflow.com/questions/249106/…
LeopardSkinPillBoxHat

Jawaban:

25

Anda lupa yang berikut ini:

Semakin populer ekstensi, semakin kecil peluang untuk tidak ada yang menyadari bahwa add-on melakukan sesuatu yang berbahaya.

Berbeda dengan itu, jika Anda memasang beberapa ekstensi yang belum pernah digunakan orang lain, Anda berisiko lebih dari, katakanlah, memasang AdBlock. Mengingat begitu banyak orang menggunakannya, hampir aman untuk mengatakan: Seseorang akan memperhatikan lalu lintas yang tidak biasa.

Bahkan, semua ekstensi mengungkapkan kode sumbernya, sehingga siapa pun pada dasarnya bisa melanjutkan dan mencari sendiri sesuatu yang mencurigakan.

Peringatan ada di sana sehingga Anda tidak bisa menyalahkan vendor browser atas kerusakan yang dilakukan, jika Anda menginstal sesuatu yang tidak sesuai dengan data Anda. Selalu baca ulasan add-on yang terlihat mencurigakan sebelum Anda menginstalnya.

Perhatikan juga, misalnya Google dapat memeriksa kiriman:

Meskipun Google tidak berkewajiban untuk memantau Produk atau kontennya, Google dapat sewaktu-waktu meninjau atau menguji Produk Anda dan kode sumbernya untuk kepatuhan dengan Perjanjian ini, Kebijakan Program Google Web Store, dan semua syarat, kewajiban, hukum yang berlaku lainnya , atau peraturan, dan dapat menggunakan cara otomatis untuk melakukan tinjauan tersebut

Penghapusan ekstensi tentu saja dapat menyebabkan masalah bagi pengembang.

slhck
sumber
2
Jadi ekstensi dapat mengumpulkan dan mengirim kembali data saya, tetapi kemungkinannya lebih sedikit dengan yang populer karena kode sumber tersedia untuk umum.
htorque
1
@tortor Sebuah ekstensi dapat melakukan itu, ya - tetapi mengingat sifat berbagai hal, jika ada lebih banyak orang yang harus diwaspadai, kemungkinan sesuatu yang buruk terjadi lebih rendah.
slhck
3
Mungkin ada alasan "sah" bagi mereka untuk mengirim data kembali ke server mereka. Dalam hal ini, itu tidak mungkin menjadi berita besar jika seseorang tahu mereka melakukannya.
Stefano Palazzo
1
@ Stefano Itu tentu saja benar. Hai, beberapa ekstensi bahkan tidak akan berfungsi tanpa itu.
slhck
1
Ya, lebih banyak mata biasanya lebih baik. Sayangnya, itu juga berarti bahwa semakin banyak orang menggunakannya, semakin banyak orang akan menganggap bahwa orang lain akan mengurus untuk memeriksanya, dan tidak melakukannya sendiri, yang kemudian menghasilkan rasa keamanan yang meningkat dan buatan. :-(
Synetech
9

Penilaian risiko yang sulit untuk dilakukan. Popularitas membawa dua hal:

  • Semakin banyak orang yang mencoba memperbaikinya (melihat kode yang buruk)
  • Semakin banyak orang yang mencoba meretasnya (dan memperkenalkan kode buruk) untuk menyerang basis pengguna yang lebih besar

Mari kita asumsikan untuk contoh-contoh ini kita berbicara tentang proyek open source dengan kode yang dihosting dalam sesuatu seperti github.

Jika sesuatu memiliki satu pengembang, itu hanya satu orang yang memeriksa kode. Jika seseorang (bukan pengembang) ingin menambahkan kode itu, mereka perlu membodohi pengembang untuk menambahkan patch berbahaya (itu terjadi), atau menargetkan otentikasi pengembang sehingga mereka dapat menambahkan kode sendiri (juga terjadi). Kemungkinan salah satu dari ini terjadi tergantung pada kemampuan pengembang dan keamanannya.

Jika ada 10 pengembang, ada 10 kali lebih banyak vektor serangan. Tetapi juga 10 kali lebih banyak orang yang mungkin menemukan kode.

Saya yakin ada satu titik dalam proyek di mana ia memperoleh momentum yang cukup untuk membuat orang melakukan audit keamanan reguler pada kodenya. Tetapi setiap saat sebelum itu, itu adalah ayunan dan bundaran.

tl; dr Ada terlalu sulit untuk diselesaikan secara realistis. Ada terlalu banyak unsur manusia. Jika itu penting, jangan percayai kecuali Anda dapat memverifikasi kode sendiri.

Oli
sumber
+1, juga penjelasan yang sangat bagus.
slhck
2
Yah, saya sudah memercayai ratusan peretas kernel ... aneh saja untuk 'menanamkan' kepercayaan ke pihak ketiga tambahan untuk fungsi peramban sederhana seperti dukungan gerakan mouse (mengapa ekstensi seperti itu mendapatkan kemungkinan untuk menghubungi dunia luar di tempat pertama) ?).
htorque
Poin kedua Oli adalah alasan mengapa desakan pengguna Linux dan Mac bahwa platform mereka lebih baik dan lebih aman daripada Windows adalah salah. Kebanyakan peretas tidak repot-repot meretas Linux atau Mac karena tidak ada cukup hadiah untuk melakukannya. Jika ada, maka jumlah eksploit akan meledak (mungkin tidak setinggi Windows, tapi masih ...) Sama dengan perangkat lunak apa pun , termasuk ekstensi. Semakin populer, semakin banyak insentif untuk meretasnya. (Lihat saja peningkatan jumlah hacks Facebook / Twitter / dll.)
Synetech