Mellékleteink: HUP | Gamekapocs
Keres
Nyaralás után, augusztus 28-án és 29-én Scrum és Java fejlesztői meetupokkal jövünk.

Vigyázni kell a Chrome kiegészítőkkel!

Dojcsák Dániel, 2014. január 20. 16:23
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A Google Chrome egyik legkényelmesebb képessége, hogy magát a böngészőt, illetve a kiegészítőket is automatikusan és csendben frissíti. Ezzel többek közt az az előnye lett meg, hogy rekord sebességgel jutnak el a hathetente megjelenő új verziók a felhasználókhoz, viszont ez visszaélésre is ad lehetőséget.

A Chrome automatikus frissítése nem okoz különösebb biztonsági kockázatokat, akkor sem, ha az észrevétlen, hiszen minden egyes frissítés közvetlenül a Google-től érkezik. Ugyanez az automatikus frissítés a kiegészítőkkel is működik, ami azt jelenti, hogy ha feltelepítettük a beépülőt és engedélyeztük azt, akkor a fejlesztője bármikor kiad hozzá egy frissítést, az megjelenik a mi gépünkön is. Ugyanúgy észrevétlenül.

A telepítéskor és akár később is bármikor meg lehet nézni, hogy a kiegészítő milyen jogosultságokat kér, de az Androiddal ellentétben, ha egy friss verzió új jogokat kér, akkor ahhoz sem kell a felhasználónak beavatkoznia. Mivel a kiegészítők a böngészőn belül bármilyen kódot képesek futtatni, gyakorlatilag minden egyes kiegészítő feltelepítésével a fejlesztőnek engedélyt adunk arra, hogy bármilyen új kódot futtasson kedvére a mi számítógépünkön.

Elképesztően tökéletes cselszövés

Az Ars Technica összeállítása szerint az jelenti a kockázatot, hogy a kiegészítők tulajdonjoga a telepítésekkel együtt átadható, eladható. Ha valakinek van egy aranyos webes eszköze, ami 100 ezer felhasználót meggyőzött, akkor megteheti, hogy a kiegészítőt eladja valaki másnak. Az új tulajdonos ezután akár teljesen át is szabhatja a kiegészítőt, de ez túl feltűnő lenne, hamar kibújna a szög a zsákból. Ehelyett többször előforduló gyakorlattá vált, hogy a megvásárolt, egyébként semleges funkcionalitású kiegészítőhöz valamilyen spamterjesztő, reklámmegjelenítő kód tapad. A felhasználó azt fogja észrevenni, hogy reklámok jelennek meg bizonyos weboldalakon vagy akár mindenhol, de az nem lesz világos számára, hogy ez pontosan melyik kiegészítőn keresztül történik. Az eredeti funkció és a spamek között nem látható logikai kapcsolat. Rosszabb esetben felhasználói adatok lopására is lehet használni a kiegészítőket, hiszen vannak olyan jogosultságok, amivel a böngészőn belül minden adathoz és minden adatmezőhöz hozzáférés szerezhető.

Technikailag nem a Google felelős az ilyen kéretlen hirdetésekért, de ennek ellenére mégis a Google tehet arról, hogy ilyen egyszerűen kihasználható a böngésző ökoszisztémája - ugyanez az Android esetében elképzelhetetlen lenne. Az Ars Technica megkereste az üggyel kapcsolatban a Google-t, de egyelőre nem érkezett válasz a kérdésekre.

Az egyik látványos példa az “Add to Feedly”, ami egy egyszerű funkciót valósít meg: egy adott weboldalon a gombot megnyomva, hozzáadhatjuk az oldal RSS-ét a webes olvasóhoz. A kiegészítőt Amit Agarwal készítette, aki nemrég egy ezer dolláros nagyságrendű ajánlatot kapott rá. Gyanútlanul eladta, a pénzét meg is kapta a PayPal-fiókjába, a kiegészítő tulajdonjogát pedig átvitte a megállapodás szerinti másik Google-fiókba. Egy hónappal később, a több mint 30 ezer felhasználó közül egyre több kezdett el panaszkodni, ugyanis a kiegészítő egy frissítést kapott, ami minden weboldal mellé reklámokat szúrt be, sőt bizonyos oldalakat át is irányított. Mint később kiderült, a vevőt egyáltalán nem érdekelte a kiegészítő, egyszerűen a 30 ezer felhasználóhoz való könnyű hozzáférés ért meg néhány ezer dollárt.

Egy másik hasonló eset, amikor a “Tweet this Page” nevű kiegészítő vált hirtelen reklámokádó géppé és kezdte el a Google-keresések felett is átvenni az irányítást. Némi kutatás után több egyéb kiegészítő felhasználói értékelései közt találhatunk panaszokat hasonló módszerek miatt, sőt, olyan kiegészítő is van, ami éppen azt ígéri, hogy letakarítja a reklámokat, de valójában még többet enged az óvatlan felhasználó gépére. Érdekes csavar a történetben, hogy a hirdetések beszúrása alapjában véve nem ellenkezik a Google szabályzatával, mindössze az az elv sérül, hogy a felhasználónak tudnia kell, hogy az adott hirdetés melyik kiegészítőnek köszönhetően került oda, illetve van még egy olyan kitétel, hogy a reklámok nem keresztezhetik a weboldalak natív hirdetéseit vagy az alapvető funkcionalitást.

A rosszindulatú kiegészítőket azonban nehéz fülön csípni, kifejezetten nehéz azonosítani őket. A felhasználó számára mindössze az tűnik fel, hogy a weboldalakon megjelenő hirdetések egyre tolakodóbbak és egyre több kezd el automatikusan hangot lejátszani. Ha valaki elég ravasz, akkor esetleg ellenőrzi a legutóbb feltelepített programokat és kiegészítőket, de arra szinte senki nem gondolna, hogy egy hosszú ideje (és még most is) jól működő kiegészítő automatikus frissítése okozza a gondot. Ráadásul hiába telepíti valaki újra az operációs rendszerét vagy a böngészőt, a Chrome-bejelentkezésnek köszönhetően a kiegészítők ugyanúgy visszakerülnek, így a reklámok is, arról nem is beszélve, hogy ugyanez érvényes minden egyes számítógépre, amit szinkronizálva használunk. Rettentően gonosz praktika.

Nehéz védekezni

Az egyetlen célravezető módszer, ha valaki felismeri, hogy egy ilyen támadás áldozata és egyenként megvizsgálja, kiválogatja a kiegészítőket és eltávolítja a rosszindulatú szoftvert. A legegyszerűbb a beállítások, kiegészítők menüpontban mindegyiket letiltani és egyesével elkezdeni engedélyezni őket és figyelni, hogy mikor jelennek meg a reklámok. Ha megvan, akkor érdemes megnézni, hogy a szinkronizálásból is kikerült-e, minden eszközünkről törlődött-e. Ha valakinek van tippje már induláskor, akkor érdemes a Chrome Web Store-ban a hozzászólásokat átfutni, szinte biztos, hogy mások is panaszkodni fognak.

Védekezni nagyon nehéz, az automatikus frissítést letiltani nem lehet, a kiegészítőknek nincs is "changelog-ja", nem lehet ellenőrizni, hogy mikor frissültek. Ha valaki biztosra akar menni, akkor feltelepíthet egy olyan kiegészítőt, ami figyeli a többi kiegészítőt, hogy mikor frissülnek és reménykedik, hogy azt nem adják el spammereknek, vagy akár teljesen le is lehet állni a nem hivatalos, nagyobb szervezetek által fejlesztett kiegészítők használatával.

Szigorodtak a szabályok

Nemrégiben, éppen a visszaélések miatt a Google úgy döntött, hogy a kiegészítők a jövőben nem lehetnek többfunkciósak, hanem kizárólag egyetlen, jól látható, követhető képességgel rendelkezhetnek. Ez egyes fejlesztők számára kényelmetlen lehet, ha például egy kiegészítő egy weboldalt szöveges formátumúvá is alakított, de Kindle-re is el tudta küldeni, az a jövőben már csak két darabban, külön telepítve jelenhet meg.

Ez elvileg a fenti reklámbeszúrásos problémát is érinti, könnyebben kiszűrhetőek lesznek a rosszindulatú programok, főként a “toolbar” kategóriára volt eddig is jellemző a reklám. Ugyanakkor a megjelenés utáni frissítésben továbbra is könnyen visszaélhetnek a bűnözők az egyes kiegészítőknek megszavazott bizalommal. Ha a Google nem avatkozik be aktívan és nem változtat a frissítési szabályzaton és technikai lehetőségen, akkor a spamekhez hasonló macska-egér játék kezdődhet, ezúttal a weboldalak felett a böngészőben.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
Augusztus 28-án és 29-én Scrum és Java fejlesztői meetupokkal jövünk. A program éles, lehet regisztrálni.