Hoekom ontwikkelaars is moeilik om hul projekte te monetiseer en hoe om die installering van kwaadwillige uitbreidings te vermy.
Kyersecurity spesialis Brian Krebs het die mark van uitbreidings vir die blaaier en die metodes van hul monetisering gedemonstreer. Hy het tot die gevolgtrekking gekom dat selfs gewilde uitbreidings met honderde duisende gebruikers gevaar kan word as gevolg van hul sakemodel.
In sy publikasie praat Krebs oor die Singapoer-maatskappy Infatica met die Russiese stigter Vladimir Fomenko. Infatica bied op 'n ongewone manier webproxy-dienste aan: Die maatskappy onderhandel met die uitbreidingsontwikkelaars, sodat die infatica-proxy kode in hul projekte onmerkbaar geïntegreer is.
As gevolg hiervan word die infatica-kliëntverkeersteler deur die gebruiker se blaaier aan die gang. In ruil ontvang die ontwikkelaar 'n vaste betaling van $ 15 tot $ 45 vir elke duisend aktiewe gebruikers.
Infatica is slegs een in die groeiende industrie van skaduwee maatskappye wat probeer om saam te werk met die ontwikkelaars van gewilde uitbreidings en gebruik hul ontwikkeling vir hul eie doeleindes. Die ontwikkelaars word gedwing om te stem om ten minste een of ander manier die koste van uitbreidingsondersteuning te verhaal, Krebs notas.
Hoe die ekonomie tussen uitbreidings en infatica gereël word
Sommige uitbreidings vir Apple se blaaiers, Google, Microsoft en Mozilla versamel honderde duisende, en selfs miljoene aktiewe gebruikers. Namate die gehoor groei, kan die uitbreidings skrywer nie die projekondersteuning hanteer nie - sy opdaterings of antwoorde op gebruikersversoeke.
Terselfdertyd, om finansiële vergoeding vir hul werke in outeurs 'n bietjie te kry - 'n intekening kan wegbreek, en Google het die sluiting van betaalde uitbreidings in die Chrome-winkel aangekondig.
Daarom word die uitbreiding vir die skrywer soms 'n volledige verkoop van uitbreiding, of verborge integrasie van iemand anders se kode. "Hierdie aanbod is dikwels te aantreklik om dit te weier," skryf Krebs.
Byvoorbeeld, dit is gedoen deur die ontwikkelaar van uitbreiding vir die toets van modderwebwerwe Hao Nguyen, wat deur meer as 400 duisend mense gebruik word.
Toe Nguyen besef het dat hy meer en meer geld spandeer en tyd om MODHEUdder te ondersteun, het hy probeer om advertensies in uitbreiding in te sluit, maar na 'n groot protes moes hy dit opgee. Daarbenewens het die advertensie hom nie baie geld gebring nie.
"Ek sal ten minste 10 jaar spandeer om hierdie ding te skep, en ek het dit nie gekonfronteer nie," erken die Nguyen. Gedeeltelik blameer hy Google vir die sluiting van betaalde uitbreidings - volgens hom het dit net die probleem van teleurgestelde ontwikkelaars vererger.
Nguyen het self aanvanklik verskeie aanbiedings van maatskappye verlaat om te betaal vir die integrasie van hul kode in uitbreiding, aangesien hulle te eniger tyd volle beheer oor die werk van die blaaier en gebruikers toestelle sal ontvang.
Infatica-kode was eenvoudiger - hulle was beperk tot die roete van versoeke sonder toegang tot gered gebruikerswagwoorde, lees hul koekie of die gebruiker se skerm te sien. Daarbenewens sal die transaksie Nguen ten minste $ 1500 per maand bring.
Hy het ingestem, maar in 'n paar dae het hy baie negatiewe gebruikersresensies en verwyderde Infatica-kode ontvang. Daarbenewens het die uitbreiding begin gebruik om "nie baie goeie plekke, soos porno," notas deur Modheader te sien nie.
Die Infatica-hoofstuk besit die Ininja VPN vpn diens met 'n gehoor van 400 duisend gebruikers. Dit gebruik ook dieselfde stelsels vir die routing van verkeer - 'n uitbreiding vir chroom en dieselfde genoemde advertensieblokkering, wat infatica bevat.
Infatica is soortgelyk aan HolaVpn - VPN diens met 'n blaaier uitbreiding. In 2015 het cybersecurity navorsers bevind dat diegene wat die HOLA-uitbreiding gevestig het, gebruik is om verkeer ander mense te herlei.
Infatica Marketing-span vergelyk net sy sakemodel met die HolaVpn-model, notas Krebs.
Hoe groot is die uitbreidingsmark
Die tweede projek van Nguen - die diens van statistieke van chroom-stats.com, wat inligting bevat oor meer as 150 duisend uitbreidings, word die uitgebreide weergawe van die diens deur intekening aangebied.
Volgens chroom-statistieke word meer as 100 duisend uitbreidings deur die outeurs verlaat of is nie meer as twee jaar opgedateer nie. Dit is 'n beduidende reservoir van ontwikkelaars wat dalk goed kan stem om hul projek te verkoop en sy persoonlike basis sluit Krebs.
Hoeveel uitbreidings gebruik die Infatica-kode onbekend - Krebs het ten minste drie dosyn gevind, het verskeie van hulle meer as 100 duisend gebruikers gehad. Een van hulle is Video Downloader Plus, waarvan die gehoor op die hoogtepunt van 1,4 miljoen aktiewe gebruikers was.
Hoe om nie kwaadwillige uitbreiding te kry nie
Die toestemmings van elke uitbreiding word in sy "manifes" uitgespel - die beskrywing is beskikbaar tydens sy installasie. Volgens Chrome-statistieke vereis ongeveer 'n derde van alle Chrome-uitbreidings nie spesiale permitte nie, maar die res vereis volledige vertroue van die gebruiker.
Byvoorbeeld, ongeveer 30% van die uitbreidings kan gebruikersdata op alle of spesifieke webwerwe beskou, asook indeks oop oortjies en perfek op webbladsye. 68 duisend uitbreidings kan arbitrêre kode op die bladsy verrig deur die funksionaliteit of voorkoms van die webwerf te verander.
Wanneer u uitbreidings installeer, moet u uiters versigtig wees en kies diegene wat aktief deur die outeurs ondersteun word en op gebruikersvrae reageer, glo Krebs.
As die uitbreiding vra om op te gradeer en skielik meer permitte te versoek as voorheen - dit is 'n rede om te dink dat iets verkeerd met hom is. As hierdie uitbreiding volle toegang gehad het, beveel Krebs aan om dit heeltemal te verwyder.
Ook kan jy ook 'n uitbreiding laai en stel, want die webwerf is geskryf dat dit nodig is om inhoud te sien - dit beteken byna altyd 'n groot risiko, notas 'n kuberekuriteitspesialis.
En jy moet altyd by die eerste netwerk sekuriteitsreël hou: "As jy dit nie gekyk het nie, moet jy nie installeer nie."
# Blaaiers uitbreidings
N bron