어쨌든 Chrome 웹 스토어는 얼마나 안전한가요?

어쨌든 Chrome 웹 스토어는 얼마나 안전한가요?

모든 Chromium 사용자의 약 33%가 일종의 브라우저 플러그인을 설치했습니다. 고급 사용자가 독점적으로 사용하는 틈새 기술이 아니라 부가 기능은 Chrome 웹 스토어와 Firefox 부가 기능 마켓플레이스에서 오는 대부분이 주류를 이루는 긍정적인 주류입니다.





그러나 얼마나 안전합니까?



조사에 따르면 제시로 인해 IEEE Symposium on Security and Privacy에서 답은 하지 매우 . Google 자금 지원 연구에 따르면 수천만 명의 Chrome 사용자가 다양한 애드온 기반 멀웨어를 설치했으며 이는 전체 Google 트래픽의 5%를 차지합니다.





연구 결과 Chrome 앱 스토어에서 거의 200개의 플러그인이 삭제되었고 시장의 전반적인 보안에 의문이 생겼습니다.

그렇다면 Google은 우리를 안전하게 보호하기 위해 무엇을 하고 있으며 악성 애드온을 어떻게 식별할 수 있습니까? 내가 발견.



애드온의 출처

브라우저 확장 프로그램, 플러그인 또는 추가 기능 등 원하는 대로 부르십시오. 모두 같은 곳에서 왔습니다. 필요에 부응하거나 문제를 해결한다고 느끼는 제품을 생산하는 독립적인 제3자 개발자.

브라우저 추가 기능은 일반적으로 HTML, CSS 및 JavaScript와 같은 웹 기술을 사용하여 작성되며 일반적으로 하나의 특정 브라우저용으로 빌드되지만 크로스 플랫폼 브라우저 플러그인 생성을 용이하게 하는 일부 타사 서비스가 있습니다.



플러그인이 완료 수준에 도달하고 테스트되면 릴리스됩니다. 대다수의 개발자가 대신 Mozilla, Google 및 Microsoft의 확장 저장소를 통해 배포하기로 선택하지만 플러그인을 독립적으로 배포하는 것이 가능합니다.

하지만 사용자의 컴퓨터에 닿기 전에 사용하기에 안전한지 테스트를 거쳐야 합니다. Google 크롬 앱 스토어에서 작동하는 방법은 다음과 같습니다.



Chrome을 안전하게 유지하기

확장 제출부터 최종 출판까지 60분의 기다림이 있습니다. 여기서 무슨 일이? 글쎄요, Google은 그 뒤에서 플러그인에 악의적인 논리나 사용자의 개인 정보나 안전을 위협할 수 있는 내용이 포함되어 있지 않은지 확인하고 있습니다.

이 프로세스는 '향상된 항목 유효성 검사'(IEV)로 알려져 있으며 맬웨어를 식별하기 위해 플러그인의 코드와 설치 시 동작을 검사하는 일련의 엄격한 검사입니다.

구글은 또한 스타일 가이드' 발간 개발자에게 어떤 동작이 허용되는지 알려주고 다른 사람들은 명시적으로 권장하지 않습니다. 예를 들어, 크로스 사이트 스크립팅 공격에 대한 위험을 완화하기 위해 인라인 JavaScript(별도의 파일에 저장되지 않은 JavaScript)를 사용하는 것은 금지되어 있습니다.

Google은 또한 코드가 코드를 실행할 수 있게 하고 모든 종류의 보안 위험을 초래할 수 있는 프로그래밍 구성인 'eval'의 사용을 강력히 권장하지 않습니다. 그들은 또한 MITM(Man-In-The-Middle) 공격의 위험이 있기 때문에 Google이 아닌 원격 서비스에 연결하는 플러그인에 대해 그다지 관심이 없습니다.

이는 간단한 단계이지만 대부분 사용자를 안전하게 유지하는 데 효과적입니다. 자바드 말리크 , Alienware의 Security Advocate는 이것이 올바른 방향으로 나아가는 단계라고 생각하지만 사용자를 안전하게 유지하는 데 있어 가장 큰 문제는 교육 문제라고 말합니다.

'좋은 소프트웨어와 나쁜 소프트웨어를 구별하는 것이 점점 더 어려워지고 있습니다. 바꾸어 말하면, 한 사람의 합법적인 소프트웨어는 지옥의 내부에 코딩된 다른 사람의 신원 도용, 개인 정보 보호를 손상시키는 악성 바이러스입니다. 처음부터 공개된 적이 없습니다. 그러나 Google과 같은 회사가 앞으로 당면한 과제는 확장 프로그램을 감시하고 허용되는 동작의 한계를 정의하는 것입니다. 보안이나 기술을 넘어 인터넷을 사용하는 사회 전반에 대한 질문입니다.'

Google은 사용자가 브라우저 플러그인 설치와 관련된 위험에 대해 알 수 있도록 하는 것을 목표로 합니다. Google 크롬 앱 스토어의 각 확장 프로그램은 필요한 권한에 대해 명시적이며 귀하가 부여한 권한을 초과할 수 없습니다. 내선이 비정상적으로 보이는 일을 하도록 요구하는 경우 의심할 만한 이유가 있습니다.

그러나 때때로 우리 모두가 알고 있듯이 맬웨어가 침투합니다.

나는 무엇을 검색해야할지 모르겠다

Google이 잘못했을 때

놀랍게도 구글은 꽤 타이트한 배를 유지하고 있다. 적어도 Google 크롬 웹 스토어에 관해서는 시계를 지나치지 않습니다. 그러나 어떤 일이 일어나면 그것은 나쁩니다.

  • AddToFeedly 사용자가 Feedly RSS 리더 구독에 웹사이트를 추가할 수 있는 Chrome 플러그인이었습니다. 합법적인 제품으로 인생을 시작했습니다. 취미 개발자가 출시한 , 그러나 2014년에 4자리 금액에 구입했습니다. 그런 다음 새 소유자는 페이지에 광고를 삽입하고 팝업을 생성하는 SuperFish 애드웨어와 플러그인을 묶었습니다. SuperFish는 올해 초 Lenovo가 모든 저가형 Windows 노트북과 함께 출하했을 때 악명을 얻었습니다.
  • 웹페이지 스크린샷 사용자가 방문 중인 웹페이지 전체의 이미지를 캡처할 수 있도록 하며 백만 대 이상의 컴퓨터에 설치되었습니다. 하지만 미국 내 단일 IP 주소로 사용자 정보를 전송하기도 했다. WebPage Screenshot의 소유자는 잘못된 행동을 부인했으며 이것이 품질 보증 관행의 일부라고 주장했습니다. 이후 Google은 Chrome 웹 스토어에서 이를 제거했습니다.
  • Google Chrome에 추가는 다음과 같은 악성 확장 프로그램이었습니다. 탈취당한 페이스북 계정 , 승인되지 않은 상태, 게시물 및 사진을 공유했습니다. 이 악성코드는 YouTube를 모방한 사이트를 통해 유포되었으며 사용자에게 동영상을 보려면 플러그인을 설치하라고 지시했습니다. Google은 이후 플러그인을 제거했습니다.

대부분의 사람들이 대부분의 컴퓨팅을 수행하기 위해 Chrome을 사용한다는 점을 감안할 때 이러한 플러그인이 균열을 통과할 수 있다는 것은 문제가 됩니다. 하지만 적어도 거기에는 절차 실패. 다른 곳에서 확장을 설치하면 보호되지 않습니다.

Android 사용자가 원하는 모든 앱을 설치할 수 있는 것과 마찬가지로 Google을 사용하면 Chrome 웹 스토어에서 제공하지 않는 확장 프로그램을 포함하여 원하는 모든 Chrome 확장 프로그램을 설치할 수 있습니다. 이것은 소비자에게 약간의 추가 선택권을 주기 위한 것이 아니라 개발자가 승인을 위해 보내기 전에 작업 중인 코드를 테스트할 수 있도록 하기 위한 것입니다.

그러나 수동으로 설치한 확장 프로그램은 Google의 엄격한 테스트 절차를 거치지 않았으며 모든 종류의 바람직하지 않은 동작이 포함될 수 있음을 기억하는 것이 중요합니다.

당신은 얼마나 위험에 처해 있습니까?

2014년 Google은 Microsoft의 Internet Explorer를 제치고 지배적인 웹 브라우저로 자리 잡았으며 현재 인터넷 사용자의 거의 35%를 차지합니다. 결과적으로 돈을 빨리 벌거나 맬웨어를 배포하려는 사람에게는 여전히 유혹적인 대상입니다.

대부분의 경우 Google은 이에 대처할 수 있었습니다. 사건이 있었지만 격리되었습니다. 맬웨어가 침투할 수 있으면 Google에서 기대하는 전문성과 함께 신속하게 처리합니다.

그러나 확장 및 플러그인이 잠재적인 공격 벡터라는 것은 분명합니다. 온라인 뱅킹에 로그인하는 것과 같이 민감한 작업을 수행할 계획이라면 플러그인이 없는 별도의 브라우저나 시크릿 창에서 수행하는 것이 좋습니다. 위에 나열된 확장 프로그램이 있는 경우 다음을 입력합니다. 크롬://확장/ Chrome 주소 표시줄에서 보안을 위해 찾아서 삭제하세요.

실수로 Chrome 멀웨어를 설치한 적이 있습니까? 이야기를 전하기 위해 살고 있습니까? 그것에 대해 듣고 싶습니다. 아래에 댓글을 남겨주시면 채팅을 드리겠습니다.

이미지 크레딧: 부서진 유리에 망치 Shutterstock을 통해

공유하다 공유하다 트위터 이메일 다크 웹 대 딥 웹: 차이점은 무엇입니까?

다크 웹과 딥 웹은 종종 하나의 동일한 것으로 오인됩니다. 하지만 그렇지 않은데 차이점은 무엇입니까?

다음 읽기 관련 항목
  • 브라우저
  • 보안
  • 구글 크롬
  • 온라인 보안
저자 소개 매튜 휴즈(386건의 기사 게재)

Matthew Hughes는 영국 리버풀 출신의 소프트웨어 개발자이자 작가입니다. 그는 손에 진한 블랙 커피 한 잔 없이는 거의 발견되지 않으며 그의 Macbook Pro와 카메라를 절대적으로 좋아합니다. http://www.matthewhughes.co.uk에서 그의 블로그를 읽고 트위터 @matthewhughes에서 그를 팔로우할 수 있습니다.

매튜 휴즈가 참여한 작품 더보기

뉴스레터 구독

기술 팁, 리뷰, 무료 전자책 및 독점 거래에 대한 뉴스레터에 가입하십시오!

구독하려면 여기를 클릭하세요.