Qual o risco de extensões populares do Chrome?

20

Estou prestes a mudar para o Chromium e instalei algumas extensões. Cada vez que instalei uma extensão, fui notificado de quais dados a extensão tem acesso, por exemplo:

insira a descrição da imagem aqui

Entendo que o acesso a esses dados é necessário para que a extensão funcione, mas estou um pouco preocupado que um dia essa extensão possa decidir atualizar e roubar ("telefone da casa") todos os meus dados de navegação.

Outro exemplo de mensagem assustadora (ao ativar extensões para janelas anônimas):

Aviso: o Chromium não pode impedir que as extensões gravem seu histórico de navegação. Para desativar esta extensão no modo de navegação anônima, desmarque esta opção.

Isso é uma ameaça possível ao usar extensões populares do Chrome? É um pouco assustador ter que confiar em outra parte para cada nova função que você adicionar ao navegador.

security  google-chrome-extensions 
htorque
fonte
Uma pergunta relacionada no Stack Overflow: stackoverflow.com/questions/249106/...
LeopardSkinPillBoxHat

Respostas:

25

Você está esquecendo o seguinte:

Quanto mais popular uma extensão, menor é a chance de ninguém perceber que o complemento faz algo prejudicial.

Por outro lado, se você instalar alguma extensão que ninguém mais usou antes, corre o risco de mais do que, digamos, instalar o AdBlock. Considerando que tantas pessoas estão usando, é quase seguro dizer: alguém teria notado tráfego incomum.

De fato, todas as extensões divulgam seu código fonte, para que qualquer pessoa possa basicamente ir em frente e procurar por algo suspeito.

Os avisos estão aí para que você não possa culpar os fornecedores do navegador por qualquer dano causado, caso instale algo que não funciona com seus dados. Sempre leia as revisões de complementos que lhe parecem suspeitos antes de instalá-los.

Observe também que, por exemplo, o Google pode verificar os envios:

Embora o Google não seja obrigado a monitorar os Produtos ou seu conteúdo, o Google poderá, a qualquer momento, revisar ou testar seus Produtos e seu código-fonte quanto à conformidade com este Contrato, as Políticas do programa da Web Store do Google Chrome e quaisquer outros termos, obrigações, leis aplicáveis. ou regulamentos, e pode usar meios automatizados para conduzir tal revisão

A remoção de uma extensão pode, obviamente, causar alguns problemas ao desenvolvedor.

slhck
fonte
2
Portanto, as extensões podem coletar e enviar meus dados, mas é menos provável com os populares, pois o código-fonte está disponível ao público.
htorque
1
@htorque Uma extensão poderia fazer isso, sim - mas, dada a natureza das coisas, se houver mais pessoas a observar, as chances de algo ruim acontecer são menores.
slhck
3
Pode haver razões "legítimas" para enviar dados de volta para seus servidores. Nesse caso, é improvável que sejam grandes notícias se alguém descobrir que sim.
Stefano Palazzo
1
@ Stefan Isso é claro que está certo. Ei, algumas extensões nem funcionariam sem isso.
slhck
1
Sim, mais olhos geralmente são melhores. Infelizmente, isso também significa que, quanto mais as pessoas usam, mais assumem que alguém cuidará de verificá-lo e não o fazem sozinhas, o que resulta em um senso de segurança inflado e artificial. :-(
Synetech
9

É uma avaliação de risco difícil de fazer. A popularidade traz duas coisas:

  • Mais pessoas tentando melhorá-lo (identificando código incorreto)
  • Mais pessoas tentando hackear (e introduzir código incorreto) para atacar uma base de usuários maior

Vamos supor, para esses exemplos, que estamos falando de um projeto de código aberto com código hospedado em algo como o github.

Se algo tem um desenvolvedor, é apenas uma pessoa que está verificando o código. Se alguém (não o desenvolvedor) quiser adicionar código a isso, eles precisam enganar o desenvolvedor para adicionar um patch malicioso (isso acontece) ou direcionar a autenticação desse desenvolvedor para que possam adicionar o código eles mesmos (também acontece). A chance de qualquer uma dessas situações depender da capacidade do desenvolvedor e de sua segurança.

Se houver 10 desenvolvedores, haverá 10 vezes mais vetores de ataque. Mas também 10 vezes mais pessoas que podem identificar o código.

Tenho certeza de que há um ponto em um projeto em que ele ganha impulso suficiente para que as pessoas realizem auditorias de segurança regulares em seu código. Mas a qualquer momento antes disso, são balanços e rotatórias.

tl; dr É muito difícil calcular realisticamente. Existem muitos elementos humanos. Se isso importa, não confie nele, a menos que você possa verificar o código por conta própria.

Oli
fonte
+1, também uma explicação muito boa.
slhck
2
Bem, eu já confio em centenas de hackers de kernel ... é estranho "investir" a confiança em terceiros adicionais para funções simples do navegador, como suporte a gestos do mouse (por que essa extensão tem a possibilidade de entrar em contato com o mundo exterior em primeiro lugar? ?).
htorque
O segundo ponto de Oli é exatamente por que a insistência dos usuários de Linux e Mac de que suas plataformas são superiores e mais seguras que o Windows está errada. A maioria dos hackers não se incomoda em invadir o Linux ou o Mac, porque não há recompensa suficiente para fazê-lo. Se houvesse, o número de explorações explodiria (talvez não tão alto quanto o Windows, mas ainda assim ...) É o mesmo com qualquer software, incluindo extensões. Quanto mais popular, mais incentivo existe para hackear. (Basta olhar para o número crescente de Facebook / Twitter / etc hacks..)
Synetech
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.