とにかくChromeウェブストアはどれくらい安全ですか?

とにかくChromeウェブストアはどれくらい安全ですか?

すべてのChromiumユーザーの約33%が、何らかのブラウザプラグインをインストールしています。アドオンは、パワーユーザーだけが使用するニッチなエッジテクノロジーではなく、積極的に主流であり、その大部分はChromeウェブストアとFirefoxアドオンマーケットプレイスから提供されています。





しかし、それらはどれほど安全ですか?



研究によると 提示される予定 セキュリティとプライバシーに関するIEEEシンポジウムでの答えは、 あまりない 。 Googleが資金提供した調査によると、数千万人のChromeユーザーがさまざまなアドオンベースのマルウェアをインストールしており、これはGoogleの総トラフィックの5%に相当します。





この調査の結果、Chrome App Storeから約200個のプラグインが削除され、市場の全体的なセキュリティに疑問が投げかけられました。

では、Googleは私たちを安全に保つために何をしているのでしょうか。また、不正なアドオンをどのように見つけることができるでしょうか。わかった。



アドオンの出所

ブラウザ拡張機能、プラグイン、アドオンなど、あなたが望むものと呼んでください。それらはすべて同じ場所から来ています。独立したサードパーティの開発者が、ニーズに応えたり、問題を解決したりできると感じる製品を作成しています。

ブラウザアドオンは通常、HTML、CSS、JavaScriptなどのWebテクノロジを使用して作成され、通常は1つの特定のブラウザ用に構築されますが、クロスプラットフォームのブラウザプラグインの作成を容易にするサードパーティのサービスもあります。



プラグインが完了レベルに達してテストされると、プラグインは解放されます。プラグインを個別に配布することは可能ですが、開発者の大多数は、代わりにMozilla、Google、およびMicrosoftの拡張機能ストアを介してプラグインを配布することを選択します。

ただし、ユーザーのコンピューターに触れる前に、安全に使用できることを確認するためにテストする必要があります。 Google Chrome AppStoreでの動作は次のとおりです。



Chromeを安全に保つ

拡張機能の送信から最終的な公開まで、60分の待機時間があります。ここでは何が起きるのですか?さて、舞台裏では、Googleはプラグインに悪意のあるロジックや、ユーザーのプライバシーや安全性を損なう可能性のあるものが含まれていないことを確認しています。

このプロセスは「拡張アイテム検証」(IEV)と呼ばれ、マルウェアを特定するために、プラグインのコードとインストール時の動作を調べる一連の厳密なチェックです。

グーグルも持っています 「スタイルガイド」を公開 開発者に許可されている動作を伝え、他の人を明確に思いとどまらせるようなものです。たとえば、クロスサイトスクリプティング攻撃に対するリスクを軽減するために、インラインJavaScript(別のファイルに保存されていないJavaScript)を使用することは禁止されています。

また、Googleは、コードがコードを実行できるようにするプログラミング構造である「eval」の使用を強く推奨しておらず、あらゆる種類のセキュリティリスクをもたらす可能性があります。また、リモートのGoogle以外のサービスに接続するプラグインにはそれほど熱心ではありません。これは、中間者(MITM)攻撃のリスクをもたらすためです。

これらは簡単な手順ですが、ほとんどの場合、ユーザーの安全を維持するのに効果的です。 Javvad Malik 、AlienwareのSecurity Advocateは、これは正しい方向への一歩だと考えていますが、ユーザーの安全を維持する上での最大の課題は教育の問題であると述べています。

「良いソフトウェアと悪いソフトウェアを区別することはますます困難になっています。言い換えれば、ある人の合法的なソフトウェアは、別の人のアイデンティティを盗み、プライバシーを侵害する悪意のあるウイルスであり、地獄の腸にコード化されています。そもそも公開されたことはありません。しかし、Googleのような企業にとって今後の課題は、拡張機能を監視し、許容される動作の制限を定義することです。セキュリティやテクノロジーを超えた会話と、インターネットを使用する社会全体への質問。

Googleは、ブラウザプラグインのインストールに関連するリスクについてユーザーに確実に通知することを目的としています。 Google Chrome App Storeの各拡張機能は、必要な権限について明示的であり、指定した権限を超えることはできません。拡張機能が異常と思われることを実行するように要求している場合は、疑惑の原因があります。

しかし、ご存知のように、マルウェアがすり抜けてしまうことがあります。

Minecraft Mod1.12.2の作り方

グーグルがそれを間違えるとき

グーグルは、驚くべきことに、かなりタイトな船を維持しています。少なくともGoogleChromeウェブストアに関しては、時計をすり抜けることはあまりありません。しかし、何かが起こったとき、それは悪いことです。

  • AddToFeedly は、ユーザーがFeedlyRSSリーダーサブスクリプションにウェブサイトを追加できるようにするChromeプラグインでした。それは合法的な製品として生まれました 趣味の開発者がリリース 、しかし2014年に4桁の金額で購入されました。その後、新しい所有者はプラグインにSuperFishアドウェアを組み合わせ、ページに広告を挿入してポップアップを生成しました。 SuperFishは、LenovoがすべてのローエンドWindowsラップトップと一緒に出荷していたことが発覚した今年の初めに悪評を博しました。
  • Webページのスクリーンショット ユーザーがアクセスしているWebページ全体の画像をキャプチャできるようにし、100万台を超えるコンピューターにインストールされています。ただし、米国ではユーザー情報を単一のIPアドレスに送信しています。 WebPageスクリーンショットの所有者は、不正行為を否定し、品質保証の一環であると主張しています。その後、GoogleはChromeウェブストアから削除しました。
  • Google Chromeに追加するのは、不正な拡張機能でした。 乗っ取られたFacebookアカウント 、および共有された不正なステータス、投稿、写真。このマルウェアは、YouTubeを模倣したサイトを介して拡散し、ビデオを視聴するためにプラグインをインストールするようにユーザーに指示しました。その後、Googleはプラグインを削除しました。

ほとんどの人がChromeを使用してコンピューティングの大部分を実行していることを考えると、これらのプラグインが何とかすり抜けてしまったのは厄介です。しかし、少なくともありました 手順 失敗する。他の場所から拡張機能をインストールすると、保護されません。

Androidユーザーが好きなアプリをインストールできるのと同じように、Googleでは、Chromeウェブストア以外のものも含め、好きなChrome拡張機能をインストールできます。これは、消費者に少し余分な選択肢を与えるだけでなく、開発者が承認のために送信する前に、作業中のコードをテストできるようにするためです。

ただし、手動でインストールされた拡張機能は、Googleの厳格なテスト手順を経ておらず、あらゆる種類の望ましくない動作が含まれている可能性があることを覚えておくことが重要です。

あなたはどのくらい危険にさらされていますか?

2014年、GoogleはMicrosoftのInternet Explorerを主要なWebブラウザーとして追い抜き、現在ではインターネットユーザーのほぼ35%を占めています。その結果、手っ取り早く金を稼いだりマルウェアを配布したりしようとしている人にとって、それは魅力的なターゲットのままです。

グーグルは、ほとんどの場合、対処することができました。事件はありましたが、孤立しています。マルウェアがなんとかすり抜けたとき、彼らはそれを適切に、そしてあなたがグーグルに期待するプロ意識で対処しました。

ただし、拡張機能とプラグインが潜在的な攻撃ベクトルであることは明らかです。オンラインバンキングへのログインなど、機密性の高い操作を計画している場合は、プラグインのない別のブラウザまたはシークレットウィンドウで実行することをお勧めします。上記の拡張機能のいずれかがある場合は、次のように入力します chrome:// extension / 安全のために、Chromeのアドレスバーでそれらを見つけて削除します。

Chromeマルウェアを誤ってインストールしたことがありますか?物語を語るために生きますか?聞きたいです。 コメントを下にドロップしてください。チャットします。

画像クレジット: 粉々に砕けたガラスのハンマー Shutterstock経由

共有 共有 つぶやき Eメール ダークウェブとディープウェブ:違いは何ですか?

ダークウェブとディープウェブは、同じものと間違われることがよくあります。しかし、そうではないので、違いは何ですか?

次を読む 関連トピック
  • ブラウザ
  • 安全
  • グーグルクローム
  • オンラインセキュリティ
著者について マシューヒューズ(386件の記事が公開されました)

Matthew Hughesは、イギリスのリバプール出身のソフトウェア開発者兼ライターです。彼は手に濃いブラックコーヒーがない状態で見つかることはめったになく、MacbookProとカメラを絶対に愛しています。彼のブログはhttp://www.matthewhughes.co.ukで読むことができ、Twitterの@matthewhughesで彼をフォローすることができます。

マシューヒューズのその他の作品

ニュースレターを購読する

ニュースレターに参加して、技術的なヒント、レビュー、無料の電子書籍、限定セールを入手してください。

購読するにはここをクリックしてください