首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

如何检查Google Chrome扩展程序的安全性

前几天,一位朋友打电话给我说他的谷歌Chrome浏览器表现得很奇怪,可能需要重新安装。根据他的说法,每当他在Google上搜索某些内容时,一些未知的网站就出现了可疑的结果。我让他删除每个Chrome扩展程序,只添加他真正需要的那些。但是我发现我的这位朋友可能会受到其他恶意Chrome扩展程序带来的更多诈骗的打击,除非他寻找一些东西。

我可以向你保证,不只是只有我的朋友出现这样的情况。

据statcounter.com统计,到2018年6月,Chrome已经成为浏览器的实际标准,占据了所有平台近60%的市场份额。

除了速度,易用性,简洁的界面和安全性之外,谷歌浏览器的主要卖点之一是数以万计的扩展库,几乎涵盖了每个利基和需求。Chrome扩展程序非常有趣,可以让您同时提高工作效率。您无需为自己的需求订购定制软件,因为您可以在Chrome网上应用店中找到类似软件。对吗?

什么是Chrome扩展程序?

Chrome扩展程序是位于Google Chrome中的小型应用程序。他们可以自动执行重复性任务或为Google Chrome的广泛功能添加特定功能。Chrome扩展程序基于HTML,JavaScript和CSS等网络技术构建。这降低了开发人员甚至业余爱好者的入门门槛,使他们能够用相对较少的资产和资源编写扩展。

为什么Chrome扩展程序会有危险?

Chrome扩展程序是位于浏览器中的小型插件应用程序。因此,他们可能可以完全访问您浏览器中的所有数据,例如您访问的网站,这些网站的内容,您在表单中输入的内容(例如密码)等。

Chrome扩展程序具有分层权限系统,可能会将单个扩展程序对您的数据的访问范围缩小到扩展程序真正需要的范围。但是这样的系统只能和使用它的人一样有效。如果您毫不犹豫的接受一个Chrome扩展程序的所有权限请求的话,那就非常危险了。

虽然谷歌会扫描每一个提交到Chrome网上应用店的扩展程序,但是仍然有一些漏网之鱼。而且糟糕的是,Google Chrome允许通过内联安装API,从第三方网站安装扩展程序。好消息是搜索庞然大物宣布将逐步淘汰这一功能。从2018年12月初的Chrome 71开始,Google Chrome的内联安装API将完全从开发人员的选项中删除。

但这不是整个故事。Chrome扩展程序会自动更新。因此,即使您在安装之前采取了必要的预防措施并进行了研究,也可以在以后阶段进行扩展。扩展也可以转手。开发商可能将其扩展销售给另一家公司,或者甚至可能遭到入侵并成为供应链攻击的目标。

总而言之,有很多场景可能会使扩展变得危险,即使它已经安装完毕。因此,您必须密切关注Chrome扩展程序,不仅在安装时,而且在安装后。

安装Chrome扩展程序之前应该检查的事项

确保您确实需要该扩展程序

安装扩展程序是在于您到底需不要这个扩展程序,而不是想不想要安装这个扩展程序。您添加到系统中的每项功能都会增加被攻击的可能性。是有很多很酷和有趣的东西,但如果你真的不需要它,请不要安装它。

创建虚拟Chrome配置文件以首先检查可能的扩展名

如果你像我一样,你就不能墨守辰归。检查新软件不仅有趣,而且可能是您日常工作的一部分。毕竟,您如何知道Chrome扩展程序是否可以帮助您在不安装的情况下提高工作效率?为测试目的创建一个新的虚拟Chrome配置文件是一个合理的预防措施,可以帮助防止大量的眼泪。从浏览器测试配置文件中分离,您需要打开的所有具有实际业务的账号,并添加额外的安全层。

切勿从Chrome网上应用店外部安装扩展程序

Google已针对2018年6月12日之后发布的Chrome扩展程序实施此政策。但如果您之前已从Chrome网上应用店之外的某个位置安装了扩展程序,请立即将其卸载并在Chrome网上应用店中寻找官方替代方案。

谷歌表示,到9月12日,它将禁用现有扩展程序的此功能。这是一件好事,无论您在何处单击以安装扩展程序,您都将被引导至Chrome网上应用店。据Google称,在Chrome网上应用店外安装扩展程序所需的内联安装API将于2018年12月初完全从Chrome 71中删除。

Google表示,Chrome网上应用店中的说明和功能列表对于帮助用户就是否真正需要特定扩展程序做出明智决策至关重要。

请注意,开发人员仍然可以通过启用开发人员模式在本地安装其扩展以进行测试。

确保安装正确的扩展

这可能听起来太容易了,但事实并非如此。今年早些时候,提供广告拦截产品的公司AdGuard 公布了一份包含5个恶意Chrome扩展程序的列表,这些扩展程序已经超过2000万用户。这是恶意扩展的列表:

  • 适用于Google Chrome™的AdRemover(1000万+用户)
  • uBlock Plus(8M +用户)
  • Adblock Pro(2M +用户)
  • 适用于YouTube ™的HD (400K +用户)
  • Webutation(30K +用户)

现在看看以下合法扩展列表:

  • AdBlock(10M +用户)
  • Adblock Plus(1000万+用户)
  • AdBlocker Ultimate(750K +用户)
  • uBlock(500K +用户)
  • uBlock Origin(10M +用户)
  • uBlock Plus Adblocker(800K +用户)
  • 还有很多......

如您所见,确保安装要安装的扩展非常重要。从第二个列出第一个列表真的很难。不要依赖你隐约记得的东西。

请仔细阅读扩展程序的说明和隐私政策

请仔细阅读Chrome网上应用店中的扩展程序说明并将其读到最后。Google坚持仅从Chrome网上应用店安装扩展程序的原因之一是提供透明的说明是必需的。可能存在的扩展程序不是彻头彻尾的恶意软件,并且会通过Google的安全扫描,但仍会遵循可疑的安全和隐私程序,例如跟踪信息或数据共享。当您阅读扩展程序的描述时,您将能够评估是否有必要权衡您的一些隐私和安全性以获得其附加功能。

查看扩展程序的网站

并非每个Chrome扩展程序都有一个网站。有些流行的是由个别开发人员编程和维护的。专业制作的虚假扩展网站也是恶意行为者可以创建的。但是,查看扩展程序的网站可以为您提供更明智的信息,并可以帮助您做出更好的决策。注意拼写错误或英语不良等不专业工作的迹象。

检查扩展程序的用户数量

避免使用只有少数用户的扩展程序。他们可能是好的和创新的项目,但如果你没有足够的技能或时间来彻底调查扩展,请不要使用它。对于常见功能,通常有一堆Chrome扩展模糊地做同样的事情。在这些情况下,请使用更受欢迎的产品。

在Chrome网上应用店中阅读扩展程序的评论

恶意演员可以并且已经在Chrome网上应用店中创建了良好的评论,以使他们的恶意软件看起来很好。如果您只是看到评论声明他们对扩展的喜爱而没有给出具体的用例并且每个评论给出了五星评级,请在安装之前三思。以下是您在Chrome网上应用中删除之前在Google网上应用商店网页上发现的一些评论:

Jowanna S. - ★★★★★ “不错的adblocker!强烈建议铬用户使用!“ Ruand S. - ★★★★★ “我最喜欢的广告拦截器。” Lewis A. - ★★★★★ “我非常讨厌theese facebook广告,所以安装了广告拦截器。谢谢” 塞西莉亚 - ★★★★★ “优秀的Adblocker !! 阻止所有不必要的和恼人的弹出窗口!永远不要没有Adblock。“ 帕特里夏D. - ★★★★★ “不再被不想要的广告所困扰。很棒的应用。最好的广告块。“ Alden D. - ★★★★★ “我喜欢AdRemover Adblocker。这个棒极了!这也是最好的。没有更多广告。使用其他Adblocker,但这很好。“

自从互联网发明以来,总有一些用户认为他们已经找到了下一个最好的东西,但总而言之,网络空间的公民比那更精通技术。

安装时检查权限

扩展要求的权限应该有意义并尽可能地缩小(例如,屏幕捕获扩展不需要对所有数据的读访问权)。请记住扩展程序的描述。如果它声称要为Gmail等特定服务添加功能,但希望访问您访问的所有域中的所有数据,请不要安装它。

检查扩展程序的代码

最后,如果您有技能和必要的时间,请检查扩展程序的代码。Chrome扩展程序基于JavaScript,HTML和CSS等网络技术构建。因此代码通常是可读的,除非开发人员以某种方式对其进行模糊处理。许多扩展都托管在GitHub上,您可以在其中轻松查看和下载它们。您可以在浏览器的开发人员工具中查看其余工具,也可以在硬盘上找到它们。

最后的想法

一个开放的基础设施,您可以利用超过十亿用户使用的软件产品的众所周知的技术,激发创新和多样性。但它也是一把双刃剑。谷歌Chrome浏览器庞大的用户群,易于扩展的构建,以及谷歌已经实施的相对自由的指导方针和检查,也吸引了不好的演员来快速获利。

不要误会我的意思,但Chrome网上应用店是一个充满奇迹的丛林,无论好坏。因此,如果你去探索,准备好,如果你决定带一些特别的回家,请三思而后行。它可能是你挑选的致命的秋番红花,而不是番红花

  • 发表于:
  • 原文链接https://thenextweb.com/syndication/2018/07/15/how-to-check-the-security-of-your-google-chrome-extensions
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券