人気のあるChrome拡張機能はどの程度のリスクがありますか?


20

Chromiumに切り替えようとしています。いくつかの拡張機能をインストールしました。拡張機能をインストールするたびに、拡張機能がどのデータにアクセスできるかが通知されました。たとえば:

ここに画像の説明を入力してください

拡張機能を機能させるにはそのデータへのアクセスが必要であることを理解していますが、その拡張機能がいつかすべてのブラウジングデータを更新して盗む(「電話ホーム」)ことを決定するかもしれません。

怖いメッセージの別の例(シークレットウィンドウの拡張機能を有効にする場合):

警告:Chromiumは、拡張機能が閲覧履歴を記録するのを防ぐことはできません。シークレットモードでこの拡張機能を無効にするには、このオプションの選択を解除します。

人気のあるChrome拡張機能を使用する場合、それは潜在的な脅威ですか?ブラウザに追加する新しい機能ごとに、別の関係者を信頼する必要があるのは少し怖いです。


スタックオーバーフローに関する関連質問:stackoverflow.com/questions/249106/…–
LeopardSkinPillBoxHat

回答:


25

次のことを忘れています:

拡張機能が一般的になればなるほど、アドオンが有害な何かをすることに誰も気付かない可能性は小さくなります。

それとは対照的に、他の誰も使用したことのない拡張機能をインストールすると、AdBlockのインストール以上のリスクがあります。非常に多くの人々がそれを使用していることを考えると、言うのはほぼ安全です:誰かが異常なトラフィックに気づいただろう。

実際、すべての拡張機能がソースコードを公開しているため、基本的に誰でも先に進み、疑わしいものを探すことができます。

警告が表示されるだけなので、データに不正なものをインストールした場合に、ブラウザベンダーに損害を与えたとしても責任を負えません。インストールする前に、疑わしいアドオンのレビューを必ずお読みください。

また、たとえば、Googleは提出物をチェックできることに注意してください。

Googleは、製品またはそのコンテンツを監視する義務を負いませんが、Googleは、本契約、Google Chrome Web Storeプログラムポリシー、およびその他の適用される条件、義務、法律を遵守するために、いつでも製品とそのソースコードを確認またはテストできます、または規制、およびそのようなレビューを行うために自動化された手段を使用する場合があります

もちろん、拡張機能を削除すると、開発者に何らかの問題が発生する可能性があります。


2
そのため、拡張機能データを収集して送り返すことができますが、ソースコードが一般に公開されているため、一般的な拡張機能であまり起こりません。
htorque

1
@htorque拡張機能はそうすることができます、はい-しかし、物事の性質を考えると、注意する人がもっといると、何か悪いことが起こる可能性は低くなります。
-slhck

3
サーバーにデータを送り返す「正当な」理由があるかもしれません。その場合、誰かが自分でやったことがわかっても、大きなニュースになることはまずありません。
ステファノパラッツォ

1
@Stefanoもちろんそうです。ちょっと、それなしでは機能しない拡張機能もあります。
-slhck

1
はい、通常は目が多いほど良いです。残念ながら、それはまた、より多くの人々がそれを使用するほど、他の誰かがそれをチェックし、自分自身でそれを行わないと仮定することを意味します。:-(
Synetech

9

これを試みるのは難しいリスク評価です。人気は2つのことをもたらします。

  • より多くの人々がそれを改善しようとしています(悪いコードを見つけます)
  • より大きなユーザーベースを攻撃するためにそれをハックしようとする(そして悪いコードを導入する)より多くの人々

これらの例では、githubのようなものでホストされるコードを使用したオープンソースプロジェクトについて話していると仮定しましょう。

開発者が1人いる場合は、コードをチェックインするのは1人だけです。誰か(開発者ではない)がそれにコードを追加したい場合、開発者をだまして悪意のあるパッチを追加するか(発生する)、または開発者の認証をターゲットにしてコードを追加できるようにする(また発生する)必要があります。これらのどちらかが起こる可能性は、開発者の能力とそのセキュリティに依存します。

10人の開発者がいる場合、攻撃ベクトルは10倍になります。しかし、コードを見つける可能性のある人の10倍もいます。

プロジェクトには、コードに対して定期的なセキュリティ監査を実行する人々に十分な勢いを与えるポイントがあると確信しています。しかし、その前のいつでも、それはブランコとロータリーです。

tl; dr現実的に解決するには難しすぎます。人間の要素が多すぎます。重要な場合は、自分でコードを検証できない限り、信用しないでください。


+1、非常に良い説明。
slhck

2
まあ、私はすでに何百人ものカーネルハッカーを信頼しています...マウスジェスチャサポートなどの単純なブラウザー機能のために、追加のサードパーティに信頼を「投資」するのは奇妙なことです?)。
htorque

Oliの2番目のポイントは、LinuxおよびMacユーザーがプラットフォームがWindowsよりも優れており、安全であるという主張が間違っている理由です。ほとんどのハッカー LinuxやMacのハッキングを気にしません。存在する場合、エクスプロイトの数は爆発するでしょう(Windows ほど高くないかもしれませんが、それでも…)。これは、拡張機能を含むすべてのソフトウェアで同じです。人気が高いほど、ハッキングするインセンティブが増えます。(Facebook / Twitter /などのハッキングの
増加をご覧ください
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.