Сергей Кузьмин

Как убедиться в безопасности и конфиденциальности расширений Google Chrome

Если ваш браузер Google Chrome как-то странно себя ведет, и вы думаете, что может понадобиться переустановка — не торопитесь. Возможно, достаточно будет просто удалить все расширения Chrome и оставить лишь те немногие, которые вам действительно нужны. Кевин Дэлш (Kevin Delsh) из TechTalks рассказывает, как избежать атак, вызванных вредоносными расширениями Chrome, и защитить свои конфиденциальные данные.

Согласно statcounter.com, Chrome фактически стал самым используемым браузером и получил почти 60% от доли рынка по состоянию на июнь 2018 года.

Мировой рынок браузеров с января 2016 г. по июнь 2018 г. © Statcounter
Мировой рынок браузеров с января 2016 г. по июнь 2018 г. © Statcounter

Помимо высокой скорости, простоты использования, чистого интерфейса и безопасности, одной из главных "фишек" Google Chrome является большой арсенал расширений — их насчитывается несколько десятков тысяч и они охватывают практически все области и потребности. Расширения Chrome помогают нам быть более продуктивными: не нужно заказывать специализированное программное обеспечение для своих нужд, потому что всё необходимое можно найти в Интернет-магазине Chrome.

Что такое расширения Chrome?

Расширения Chrome — это небольшие приложения, которые находятся внутри Google Chrome. Они могут автоматизировать какие-то повторяющиеся задачи или добавлять определенную функциональность в Google Chrome.

Расширения Chrome основаны на таких технологиях, как HTML, JavaScript и CSS. Это понижает входной барьер для разработчиков и даже для кодеров-любителей, позволяя им создавать расширения с использованием относительно небольшого количества ресурсов.

Почему расширения Chrome опасны?

Расширения Chrome — это небольшие приложения для плагинов, которые находятся в вашем браузере. Таким образом, они могут иметь полный доступ ко всем вашим данным, сохраненным в браузере, таким как посещаемые сайты, их содержимое и та информация, которую вы вводите через различные формы (например, пароли) и т.д.

У расширений Chrome есть многоуровневая система разрешений, которая потенциально может ограничить доступ отдельного расширения к вашим данным и использовать только ту информацию, что действительно ему необходима. Но такая система будет эффективна в зависимости от того, как вы ее используете. Если вы бездумно даете разрешения на всё, что запрашивает расширение, то браузер может оказаться попросту небезопасен.

Хотя Google проверяет каждое расширение для браузера, которое попадает в Интернет-магазин Chrome, некоторые вредоносные приложения всё-таки умудряются тоже там оказаться. Более того, Google Chrome позволяет устанавливать расширения с посторонних сайтов с помощью встроенного API-интерфейса. Однако тут хорошая новость заключается в том, что поисковый гигант заявил о постепенном прекращении этой функции — в начале декабря текущего года встроенный API для Google Chrome уберут из настроек разработчиков.

Интернет-магазин Chrome
Интернет-магазин Chrome

Не стоит забывать и о том, что расширения Chrome автоматически обновляются. Таким образом, даже если вы приняли необходимые меры предосторожности и всё проверили перед установкой, расширение позднее может измениться. Также оно может поменять владельца: разработчик попросту продаст свое расширение другой компании, которая уже внесет свои изменения.

В целом, существует множество сценариев, которые могут сделать расширение опасным уже после его установки. Поэтому нужно следить за расширениями Chrome не только при установке, но и после нее.

Что нужно проверить перед установкой расширения Chrome?

Убедитесь, что вам действительно нужно это расширение

Это касается не столько самого расширения, которое вы собираетесь установить, а соблюдения так называемой "гигиены безопасности". Любая функция, которую вы добавляете в вашу систему, увеличивает шансы на возможные атаки. Да, в Интернет-магазине Chrome много интересных и забавных расширений, но, если они вам не очень нужны, не устанавливайте их.

Создайте фиктивный профиль Chrome, чтобы сначала проверить расширения

На первое правило многие не обращают внимания, ведь опробовать новое ПО — это, как минимум, интересно. В конце концов, как вы узнаете, поможет ли расширение Chrome увеличить вашу производительность, если не установите его? Создание нового фиктивного профиля Chrome с целью тестирования — это разумная мера предосторожности, которая может помочь предотвратить множество проблем. Отделите свой действующий профиль, в котором находятся все ваши открытые учетные записи, от профиля для тестирования, и вы получите дополнительный уровень безопасности.

Никогда не устанавливайте расширения со сторонних ресурсов

Если вы когда-то устанавливали в свой браузер расширение со стороннего ресурса, то лучше удалите его прямо сейчас и отыщите официальную альтернативу в Интернет-магазине Chrome.

Google сообщает, что до 12 сентября компания отключит возможность устанавливать извне расширения для браузера. Независимо от того, на каком ресурсе вы найдете нужное расширение, вас всё равно перенаправят в официальный Интернет-магазин Chrome, и это как раз хорошо. По сообщению Google, встроенный API, необходимый для загрузки расширений за пределами магазина, будет удален из Chrome 71 в начале декабря 2018 года.

Также в Google говорят, что это делается еще и потому, что описания расширений и списки их возможностей в Интернет-магазине Chrome играют важную роль — они помогают пользователям принимать разумные решения об установке и понимать, действительно ли они нуждаются в конкретном расширении.

Обратите внимание, что разработчики всё равно смогут локально устанавливать свои расширения для тестирования, включив режим разработчика.

Убедитесь, что вы устанавливаете правильное расширение

Поначалу это может прозвучать даже глупо, но в реальности всё сложнее. В начале этого года AdGuard, компания, предлагающая блокирующие рекламу продукты, обнародовала список из пяти расширений Chrome с вредоносным кодом, которые скомпрометировали данные свыше 20 млн установивших их пользователей. Вот перечень этих вредоносных расширений:

  • AdRemover для Google Chrome (его установило свыше 10 млн человек);
  • uBlock Plus (свыше 8 млн);
  • Adblock Pro (свыше 2 млн);
  • HD для YouTube (свыше 400 тыс.);
  • Webutation (свыше 30 тыс.).

Теперь рассмотрим список легальных аналогичных расширений:

  • AdBlock (свыше 10 млн);
  • Adblock Plus (свыше 10 млн);
  • AdBlocker Ultimate (свыше 750 тыс.);
  • uBlock (свыше 500 тыс.);
  • uBlock Origin (свыше 10 млн);
  • uBlock Plus Adblocker (свыше 800 тыс.) и др.

Как вы можете видеть, действительно важно убедиться, что вы устанавливаете именно то расширение, которое и планировали загрузить. Неопытному человеку очень сложно отличить расширения из первого списка от второго. Будьте внимательны.

Внимательно прочитайте описание расширения и политику конфиденциальности

Внимательно изучите описание расширения в Интернет-магазине Chrome и прочитайте его до конца. Одна из причин, по которой Google настаивает на установке расширений только из Интернет-магазина Chrome, заключается в том, что для разработчиков предоставление понятного описания является обязательным.

Могут быть расширения, которые напрямую не являются вредоносными программами и проходят проверку безопасности Google, но всё же имеют сомнительные процедуры безопасности и конфиденциальности, например, отслеживают информацию или обмениваются данными с другими приложениями. Когда вы прочтете описание расширения, то сможете оценить, имеет ли смысл обменять часть вашей конфиденциальной информации и безопасность на добавленную функциональность.

Проверьте сайт расширения

Не у каждого расширения Chrome есть сайт, некоторые популярные расширения создаются и поддерживаются отдельными разработчиками. Но проверка сайта расширения даст вам больше информации о нем и поможет принять правильное решение. Да, грамотно созданный сайт фиктивного расширения может принадлежать и сетевым злоумышленникам, но обращайте внимание на такие признаки непрофессиональной работы, как орфографические ошибки или плохое владение языком.

Обращайте внимание на количество пользователей расширения

Избегайте расширений, у которых совсем небольшое число пользователей. Это могут быть хорошие и инновационные проекты, но если у вас нет навыков или времени, чтобы тщательно исследовать расширение, не устанавливайте его. Для стандартных функций обычно существует несколько популярных расширений Chrome, которые делают примерно то же самое, что и сомнительное расширение.

Ознакомьтесь с отзывами в Интернет-магазине Chrome

Злоумышленники обычно пишут хорошие отзывы на свои расширения в Интернет-магазине Chrome, чтобы сделать вредоносное ПО более привлекательным. Если вы видите отзывы, в которых пользователи заявляют о своей любви к расширению, не приводя конкретных случаев использования, и каждый оставляет высшую оценку, дважды подумайте перед установкой такого приложения. Вот некоторые из отзывов, которые можно было найти на странице AdRemover в Интернет-магазине Chrome до того, как она была удалена Google:

© TechTalks
© TechTalks

Всегда есть несколько пользователей, которые считают, что они нашли свое идеальное расширение, но, в целом, люди обычно настроены более критично.

Изучайте разрешения, которые даете при установке

Разрешения, требуемые для установки расширения, должны иметь смысл и не включать в себя много пунктов (например, расширение для экрана не требует доступа ко всем вашим данным). Сверяйтесь с описанием расширения. Если там заявлено, что добавится функциональность к определенному сервису, например Gmail, но при этом расширение хочет получить доступ ко всем вашим данным во всех доменах, которые вы посещаете, лучше не устанавливайте его.

Проверьте код расширения

И, наконец, если у вас есть навыки и запас времени, проверьте код расширения. Расширения Chrome основаны на технологиях, JavaScript, HTML и CSS, поэтому их код обычно можно прочитать, если разработчики каким-то образом его не скрыли. Многие расширения размещаются на GitHub, где легко можно просматривать и загружать их. Также вы можете просмотреть инструменты разработчика в своем браузере или найти их на своем жестком диске.

Итого

Открытая инфраструктура, в которой можно доверять хорошо известному программному продукту, имеющему более чем миллиард пользователей, стимулирует развитие инноваций и разнообразия ПО. Но это обоюдоострый меч. Огромная пользовательская база Google Chrome, простота создания расширений и относительно либеральная политика, которую ведет Google, также привлекают и злоумышленников. Интернет-магазин Chrome напоминает джунгли, полные чудес, и хорошие, и плохие одновременно. Поэтому, если вы туда отправились и нашли что-то очень интересное, дважды подумайте, прежде чем забрать свою находку с собой.