Verifieer Google Chrome-extensies voordat u ze installeert
- Categorie: Google Chrome
Google Chrome-extensies kunnen de functionaliteit van de webbrowser uitbreiden of het leven gemakkelijker maken tijdens het surfen op internet. Hoewel dat het geval is, kunnen ze ook door bedrijven worden misbruikt om gebruikers op internet te volgen, advertenties weer te geven of kwaadaardige code naar het gebruikerssysteem te downloaden.
Dit artikel biedt u de mogelijkheid om Chrome-extensies te verifiëren voordat u ze installeert. Het is belangrijk om dit te doen voordat de extensie in de browser wordt geïnstalleerd, omdat het na de installatie mogelijk al te laat is.
Hoewel u een testomgeving voor browserextensies kunt opzetten, bijvoorbeeld in een Sandbox en met een netwerkverkeersmonitor zoals Wireshark, is het misschien niet iets waar de meeste gebruikers zich prettig bij voelen.
Deel 0: Wat u niet mag vertrouwen
De Chrome Web Store lijkt misschien een veilige locatie voor al uw extensiebehoeften, maar dat is het niet. Google gebruikt geautomatiseerde controles die extensies scannen die ontwikkelaars naar de winkel uploaden. Deze controles vangen enkele, maar niet alle vormen van privacyschadelijke of ronduit kwaadaardige functies op.
Trend Micro ontdekt bijvoorbeeld kwaadaardige browserextensies in de officiële webwinkel in 2014, en het is niet het enige bedrijf dat dat deed.
Een veelgebruikte methode die door extensies wordt gebruikt om aan alle beveiligingscontroles te voldoen, is om een script op te nemen dat de kwaadaardige lading laadt.
De extensie zelf bevat deze niet wanneer deze wordt ingediend bij de Chrome-webwinkel. De extensie slaagt dus voor de controle en wordt toegevoegd aan de winkel waar alle Chrome-gebruikers deze kunnen downloaden.
Als je geïnteresseerd bent in een akelig recent voorbeeld, bekijk dan de malware in de browser artikel door Maxime Kjear.
De beschrijving is gemaakt door de ontwikkelaar van de extensie en is daarom niet te vertrouwen zonder verificatie.
Gebruikerscommentaar kan problematische extensies benadrukken, maar dat is niet altijd het geval. Daarom zijn ze in dit opzicht ook niet te vertrouwen zonder verificatie.
Last but not least moet u aanbevelingen of aanbiedingen om een extensie te installeren niet blindelings vertrouwen omdat deze ergens voor nodig is of waarvoor u geadverteerd wordt.
Deel 1: de beschrijving
Veel extensies die analyses, kliktracking, tracking van uw browsegeschiedenis en andere trackingformulieren gebruiken, benadrukken dit in de beschrijving van de extensie.
Misschien zie je deze eerste blik niet, want Google geeft de voorkeur aan stijl boven inhoud in de winkel. Het beschrijvingsveld is klein en u moet vaak scrollen om alles te lezen.
Bekijk de populaire Geweldige Screenshot extensie bijvoorbeeld. Ziet er legitiem uit, toch? Veel positieve recensies, meer dan 580.000 gebruikers.
Als je de tijd neemt en door de beschrijving bladert, zul je uiteindelijk de volgende passage tegenkomen:
Voor het gebruik van de Awesome Screenshot-browserextensie moet u toestemming geven om geanonimiseerde klikstroomgegevens vast te leggen.
Wil je nog een voorbeeld? Hoe zit het met Hover Zoom, een extensie met meer dan 1,2 miljoen gebruikers die in het verleden bekritiseerd is vanwege trackingintegratie? Scroll naar beneden en je vindt ..
Hover Zoom vereist dat extensiegebruikers Hover Zoom toestemming verlenen om browse-activiteit te verzamelen voor intern gebruik en gedeeld met derden, allemaal voor gebruik op een anonieme en geaggregeerde basis voor onderzoeksdoeleinden
Flash Player + is een andere extensie die in de beschrijving benadrukt dat het gegevens opslaat en die gegevens deelt met derden.
Om deze software continu te ondersteunen en te verbeteren, geven gebruikers die het installeren Fairshare toestemming om informatie over hen en hun webgebruiksactiviteiten te verzamelen en te delen met derden voor zakelijke en onderzoeksdoeleinden.
Een snelle manier om deze extensies te vinden, is door te zoeken naar woordgroepen die in die beschrijvingen worden gebruikt. Een zoekopdracht naar opt-out onthult bijvoorbeeld veel van hen in de zoekresultaten (naast legitieme extensies). Velen gebruiken dezelfde beschrijving, wat betekent dat een zoekopdracht naar 'informatie over hen verzamelen en delen' extensies onthult die bijvoorbeeld dit soort tracking gebruiken.
Deel 2: Directe informatie
De volgende informatie wordt weergegeven op de profielpagina van de extensies in de Chrome Web Store:
Het bedrijf of de persoon die het heeft gemaakt / aanbiedt.
Een totale beoordeling en het aantal gebruikers dat deze heeft beoordeeld.
Het totale aantal gebruikers.
De laatst bijgewerkte datum.
De versie.
De informatie geeft u aanwijzingen, maar ze zijn niet voldoende om een verlenging te beoordelen. Velen kunnen bijvoorbeeld kunstmatig worden vervalst of opgeblazen.
Google biedt geen link naar alle extensies van een bedrijf of individu, en er is geen optie om validatie te krijgen.
Hoewel u de zoekopdracht kunt gebruiken om andere extensies van een bedrijf of individu te vinden, is er geen garantie dat de resultaten ze allemaal vermelden.
Deel 3: machtigingen
Het is meestal niet mogelijk om te bepalen of een extensie legitiem is, u opspoort of ronduit kwaadaardig is op basis van de toestemmingen die alleen worden aangevraagd.
Daar zijn echter aanwijzingen voor. Als een extensie die Facebook verbetert bijvoorbeeld vraagt om 'al uw gegevens op de websites die u bezoekt' te lezen en te wijzigen, kunt u op basis daarvan tot de conclusie komen dat u de extensie beter niet kunt installeren. Omdat het alleen op Facebook zou moeten werken, is het niet nodig om het verreikende machtigingen te geven om gegevens op alle sites te bekijken en te manipuleren.
Dit is echter slechts een indicatie, maar als u uw gezond verstand gebruikt, kunt u wellicht voorkomen dat u problematische extensies installeert. Meestal is er een alternatief beschikbaar dat vergelijkbare functionaliteit biedt, maar zonder de verregaande toestemmingsverzoeken.
Misschien wilt u deze machtigingen ook voor alle geïnstalleerde extensies controleren. Laad chrome: // extensions / en klik op de detaillink onder elke extensie. Hierdoor worden alle toestemmingsverzoeken van die extensie weer als pop-up in de browser weergegeven.
Deel 4: het privacybeleid
Op voorwaarde dat de extensie linkt naar een Privacybeleid-pagina, vindt u er mogelijk informatie op die onthult of gebruikers erdoor worden gevolgd of niet. Dit zal niet onbewust werken voor ronduit kwaadaardige extensies.
Als u bijvoorbeeld het Fairshare-privacybeleid bekijkt dat is gelinkt vanuit extensies zoals Hover Zoom, vindt u de volgende passage erin:
Het bedrijf kan browsercookies, web- en DOM-opslaggegevens, Adobe Flash-cookies, pixels, bakens en andere tracking- en gegevensverzamelingstechnologieën gebruiken, waaronder mogelijk een anonieme unieke identificatiecode.
Deze technologieën kunnen worden gebruikt om informatie over uw gebruik van de Services te verzamelen en op te slaan, inclusief maar niet beperkt tot webpagina's, functies en inhoud waartoe u toegang hebt gekregen, zoekopdrachten die u heeft uitgevoerd, informatie over verwijzende URL's, links waarop u hebt geklikt en advertenties die u heb gezien.
Deze gegevens worden gebruikt voor zakelijke doeleinden, zoals het aanbieden van relevantere advertenties en inhoud en marktonderzoek
Deel 5: De broncode
Het doornemen van de broncode kan de beste optie zijn om erachter te komen of een extensie u volgt of kwaadaardig is.
Dit is misschien niet zo technisch als het klinkt en het is vaak mogelijk om dat vast te stellen met rudimentaire HTML- en JavaScript-vaardigheden.
Het eerste dat u nodig heeft, is een extensie waarmee u de broncode van een extensie kunt ophalen zonder deze te installeren. Chrome-extensie bronviewer is een open source-extensie voor Chrome die u daarbij helpt.
Een alternatief hiervoor is om Chrome in een sandbox-omgeving uit te voeren, er extensies in te installeren om toegang te krijgen tot hun bestanden.
Als u de extensiebronviewer gebruikt, kunt u op het crx-pictogram in de adresbalk van de Chrome Web Store klikken om de extensie als zip-bestand te downloaden of de bron direct in de browser te bekijken.
U kunt alle .css- en afbeeldingsbestanden meteen negeren. Bestanden die u nader moet bekijken, hebben meestal de extensie .js of .json.
U kunt eerst het manifest.json-bestand controleren en de content_security_policy-waarde controleren om een lijst met domeinen daar te zien, maar dat is meestal niet voldoende.
Sommige extensies gebruiken voor de hand liggende namen voor het volgen van bestanden, bijvoorbeeld advertenties, zodat u daar misschien wilt beginnen.
U kunt misschien niet zien of u JavaScript niet kent, maar als dat niet het geval is.
Nu jij : Gebruik je Chrome-extensies? Heeft u ze vóór de installatie geverifieerd?