ما مدى أمان سوق Chrome الإلكتروني على أي حال؟

ما مدى أمان سوق Chrome الإلكتروني على أي حال؟

حوالي 33٪ من جميع مستخدمي Chromium لديهم نوع من المكونات الإضافية للمتصفح مثبتة. بدلاً من أن تكون تقنية متطورة مخصصة يستخدمها المستخدمون المتمرسون حصريًا ، فإن الوظائف الإضافية سائدة بشكل إيجابي ، حيث تأتي الغالبية من Chrome Web Store و Firefox Add-Ons Marketplace.





لكن ما مدى سلامتهم؟



حسب البحث من المقرر تقديمها في ندوة IEEE حول الأمن والخصوصية ، الجواب هو ليس جدا . وجدت الدراسة الممولة من Google أن عشرات الملايين من مستخدمي Chrome لديهم مجموعة متنوعة من البرامج الضارة القائمة على الوظائف الإضافية المثبتة ، والتي تمثل 5٪ من إجمالي حركة مرور Google.





نتج عن البحث حذف ما يقرب من 200 مكون إضافي من متجر تطبيقات Chrome ، مما أثار تساؤلات حول الأمان العام للسوق.

إذن ، ما الذي تفعله Google للحفاظ على سلامتنا ، وكيف يمكنك اكتشاف وظيفة إضافية محتالة؟ اكتشفت.



من أين تأتي الإضافات

أطلق عليهم ما تشاء - امتدادات المتصفح أو المكونات الإضافية أو الوظائف الإضافية - كلهم ​​يأتون من نفس المكان. مطورو الطرف الثالث المستقلون الذين ينتجون منتجات يشعرون أنها تخدم حاجة أو يحلون مشكلة.

تتم كتابة الوظائف الإضافية للمتصفح بشكل عام باستخدام تقنيات الويب ، مثل HTML و CSS و JavaScript ، وعادة ما يتم إنشاؤها لمتصفح واحد محدد ، على الرغم من وجود بعض خدمات الجهات الخارجية التي تسهل إنشاء المكونات الإضافية للمتصفح عبر الأنظمة الأساسية.



بمجرد وصول البرنامج المساعد إلى مستوى الاكتمال واختباره ، يتم إصداره بعد ذلك. من الممكن توزيع مكون إضافي بشكل مستقل ، على الرغم من أن الغالبية العظمى من المطورين يختارون بدلاً من ذلك توزيعه عبر موزيلا وجوجل ومتاجر ملحقات مايكروسوفت.

على الرغم من أنه قبل أن يلمس جهاز كمبيوتر المستخدم ، يجب اختباره للتأكد من أنه آمن للاستخدام. إليك كيفية عملها على متجر تطبيقات Google Chrome.



الحفاظ على Chrome آمنًا

من تقديم التمديد وحتى نشره النهائي ، هناك انتظار لمدة 60 دقيقة. ماذا يحدث هنا؟ حسنًا ، وراء الكواليس ، تتأكد Google من أن المكون الإضافي لا يحتوي على أي منطق ضار ، أو أي شيء يمكن أن يضر بخصوصية المستخدمين أو سلامتهم.

تُعرف هذه العملية باسم 'التحقق من صحة العنصر المحسّن' (IEV) ، وهي سلسلة من الفحوصات الصارمة التي تفحص رمز المكون الإضافي وسلوكه عند تثبيته ، من أجل تحديد البرامج الضارة.

جوجل لديها أيضا نشر 'دليل أسلوب' من الأنواع التي تخبر المطورين بالسلوكيات المسموح بها ، وتثبط عزيمة الآخرين صراحة. على سبيل المثال ، يُحظر استخدام JavaScript مضمنة - JavaScript غير مخزنة في ملف منفصل - من أجل التخفيف من مخاطر هجمات البرمجة النصية عبر المواقع.

كما تحجم Google بشدة عن استخدام 'Eval' ، وهو بناء برمجي يسمح للشفرة بتنفيذ التعليمات البرمجية ، ويمكن أن تقدم جميع أنواع المخاطر الأمنية. كما أنهم ليسوا حريصين بشكل رهيب على توصيل المكونات الإضافية بخدمات بعيدة غير تابعة لـ Google ، لأن هذا يشكل خطر هجوم Man-In-The-Middle (MITM).

هذه خطوات بسيطة ، لكنها فعالة في الغالب في الحفاظ على سلامة المستخدمين. جواد مالك ، المحامي الأمني ​​في شركة Alienware ، يعتقد أنها خطوة في الاتجاه الصحيح ، لكنها تشير إلى أن التحدي الأكبر في الحفاظ على أمان المستخدمين هو مشكلة التعليم.

أصبح التمييز بين البرامج الجيدة والسيئة أمرًا صعبًا بشكل متزايد. لإعادة الصياغة ، فإن أحد البرامج الشرعية هو فيروس ضار آخر يسرق هوية الإنسان ويخترق الخصوصية مشفرًا في أحشاء الجحيم. لم يتم الإعلان عنها على الإطلاق. لكن التحدي الذي يواجه شركات مثل Google للمضي قدمًا هو مراقبة الامتدادات وتحديد حدود السلوك المقبول. محادثة تتجاوز الأمن أو التكنولوجيا وسؤال للمجتمع الذي يستخدم الإنترنت بشكل عام.

تهدف Google إلى التأكد من إبلاغ المستخدمين بالمخاطر المرتبطة بتثبيت المكونات الإضافية للمتصفح. كل امتداد على Google Chrome App Store صريح بشأن الأذونات المطلوبة ، ولا يمكن أن يتجاوز الأذونات التي تمنحها له. إذا طلب أحد الامتدادات القيام بأشياء تبدو غير عادية ، فلديك سبب للشك.

لكن في بعض الأحيان ، كما نعلم جميعًا ، تتسلل البرامج الضارة.

لماذا القرص الخاص بي يعمل على 100

عندما يخطئ جوجل

غوغل ، بشكل مدهش ، تحتفظ بسفينة ضيقة تمامًا. لا يتخطى ساعتهم كثيرًا ، على الأقل عندما يتعلق الأمر بمتجر Google Chrome Web Store. عندما يحدث شيء ما ، فهو سيء.

  • AddToFeedly كان أحد مكونات Chrome الإضافية التي سمحت للمستخدمين بإضافة موقع ويب إلى اشتراكات قارئ RSS في Feedly. لقد بدأت الحياة كمنتج شرعي صدر عن مطور هاوٍ ، ولكن تم شراؤه مقابل مبلغ مكون من أربعة أرقام في عام 2014. ثم قام المالكون الجدد بربط البرنامج المساعد ببرنامج SuperFish ، الذي يضخ الإعلانات في الصفحات وينتج النوافذ المنبثقة. اكتسبت SuperFish سمعة سيئة في وقت سابق من هذا العام عندما تبين أن Lenovo كانت تشحنها مع جميع أجهزة الكمبيوتر المحمولة التي تعمل بنظام Windows منخفضة الجودة.
  • لقطة شاشة لصفحة الويب يسمح للمستخدمين بالتقاط صورة لكامل صفحة الويب التي يزورونها ، وقد تم تثبيته على أكثر من مليون جهاز كمبيوتر. ومع ذلك ، فقد تم أيضًا نقل معلومات المستخدم إلى عنوان IP واحد في الولايات المتحدة. نفى مالكو لقطة شاشة صفحة الويب ارتكاب أي مخالفات ، وأصروا على أنها جزء من ممارسات ضمان الجودة لديهم. قامت Google منذ ذلك الحين بإزالته من سوق Chrome الإلكتروني.
  • إضافة إلى Google Chrome كان امتدادًا خادعًا حسابات فيسبوك مختطفة ، وحالات ومشاركات وصور غير مصرح بها. انتشر البرنامج الضار من خلال موقع يحاكي YouTube ، ويطلب من المستخدمين تثبيت المكون الإضافي لمشاهدة مقاطع الفيديو. قامت Google منذ ذلك الحين بإزالة المكون الإضافي.

نظرًا لأن معظم الأشخاص يستخدمون Chrome للقيام بالغالبية العظمى من حوسبتهم ، فمن المقلق أن هذه المكونات الإضافية تمكنت من التسلل عبر الشقوق. ولكن على الأقل كان هناك ملف إجراء للفشل. عندما تقوم بتثبيت ملحقات من مكان آخر ، فأنت لست محميًا.

مثلما يمكن لمستخدمي Android تثبيت أي تطبيق يرغبون فيه ، تتيح لك Google تثبيت أي امتداد Chrome تريده ، بما في ذلك تلك التي لا تأتي من سوق Chrome الإلكتروني. هذا ليس فقط لمنح المستهلكين القليل من الخيارات الإضافية ، بل للسماح للمطورين باختبار الكود الذي كانوا يعملون عليه قبل إرساله للموافقة عليه.

ومع ذلك ، من المهم أن تتذكر أن أي امتداد يتم تثبيته يدويًا لم يخضع لإجراءات الاختبار الصارمة من Google ، ويمكن أن يحتوي على جميع أنواع السلوك غير المرغوب فيه.

كيف أنت في خطر؟

في عام 2014 ، تفوقت Google على Internet Explorer من Microsoft باعتباره مستعرض الويب المهيمن ، وتمثل الآن ما يقرب من 35 ٪ من مستخدمي الإنترنت. نتيجة لذلك ، بالنسبة لأي شخص يتطلع إلى تحقيق ربح سريع أو توزيع برامج ضارة ، فإنه يظل هدفًا مغريًا.

تمكنت Google ، في الغالب ، من التعامل مع الأمر. كانت هناك حوادث ، لكن تم عزلهم. عندما تمكنت البرامج الضارة من التسلل ، فقد تعاملوا معها على نحو ملائم ، وبالاحترافية التي تتوقعها من Google.

ومع ذلك ، فمن الواضح أن الإضافات والمكونات الإضافية هي ناقل محتمل للهجوم. إذا كنت تخطط للقيام بأي شيء حساس مثل تسجيل الدخول إلى الخدمات المصرفية عبر الإنترنت الخاصة بك ، فقد ترغب في القيام بذلك في متصفح منفصل خالٍ من المكونات الإضافية أو في نافذة التصفح المتخفي. وإذا كان لديك أي من الامتدادات المذكورة أعلاه ، فاكتب الكروم: // ملحقات / في شريط عنوان Chrome ، ثم ابحث عنها واحذفها ، فقط لتكون في أمان.

هل سبق لك تثبيت بعض البرامج الضارة في Chrome عن طريق الخطأ؟ عش لتروي الحكاية؟ اريد معرفة ما يتعلق بالموضوع. أرسل لي تعليقًا أدناه ، وسنتحدث.

اعتمادات الصورة: المطرقة على الزجاج المحطم عبر شترستوك

يشارك يشارك سقسقة بريد الالكتروني Dark Web مقابل Deep Web: ما الفرق؟

غالبًا ما يتم الخلط بين الويب المظلم والشبكة العميقة لكونهما واحدًا واحدًا. لكن هذا ليس هو الحال ، فما الفرق؟

اقرأ التالي مواضيع ذات صلة
  • المتصفحات
  • حماية
  • جوجل كروم
  • الأمن على الإنترنت
نبذة عن الكاتب ماثيو هيوز(تم نشر 386 مقالة)

ماثيو هيوز هو مطور برامج وكاتب من ليفربول ، إنجلترا. نادرًا ما يتم العثور عليه بدون فنجان من القهوة السوداء القوية في يده ويعشق تمامًا جهاز Macbook Pro وكاميراه. يمكنك قراءة مدونته على http://www.matthewhughes.co.uk ومتابعته على تويتر علىmatthewhughes.

المزيد من Matthew Hughes

اشترك في نشرتنا الإخبارية

انضم إلى النشرة الإخبارية لدينا للحصول على نصائح تقنية ومراجعات وكتب إلكترونية مجانية وصفقات حصرية!

انقر هنا للاشتراك