Per què els desenvolupadors són difícils de rendibilitzar els seus projectes i com evitar la instal·lació d'extensions malicioses.
Especialista en kybersecurity Brian Krebs va desmuntar el mercat d'extensions per al navegador i els mètodes de la seva monetització. Va arribar a la conclusió que establir extensions populars amb centenars de milers d'usuaris pot ser perillós a causa del seu model de negoci.
En la seva publicació, Krebs parla de la companyia Singapur Infatica amb el fundador rus Vladimir Fomenko. Infatica proporciona serveis de proxy web de manera inusual: la companyia negocia amb els desenvolupadors d'expansió, de manera que el codi proxy Infatica en els seus projectes integrats imperceptiblement.
Com a resultat, el router de trànsit del client Infatica s'està executant a través del navegador de l'usuari, a canvi, el desenvolupador rep un pagament fixat de 15 a $ 45 per cada mil usuaris actius.
Infatica és només una de la indústria creixent d'empreses d'ombra que intenta cooperar amb els desenvolupadors d'extensions populars i utilitzar el seu desenvolupament per als seus propis propòsits. Els desenvolupadors es veuen obligats a acceptar almenys reaccionar d'alguna manera els costos de suport d'extensió, les notes de Krebs.
Com s'organitza l'economia entre extensions i infatica
Algunes extensions per als navegadors d'Apple, Google, Microsoft i Mozilla recullen centenars de milers i fins i tot milions d'usuaris actius. A mesura que creix el públic, l'autor d'expansió no pot fer front al suport del projecte: les seves actualitzacions o respostes a les sol·licituds de l'usuari.
Al mateix temps, per obtenir una compensació financera per les seves obres en autors una mica - una subscripció pot espantar-se, i Google va anunciar el tancament de les extensions pagades a la botiga Chrome.
Per tant, de vegades l'extensió de l'autor es converteix en una venda completa d'expansió, o integració oculta del codi d'altres persones. "Aquesta oferta és sovint massa atractiva per rebutjar-la", escriu Krebs.
Per exemple, això va ser realitzat pel desenvolupador d'expansió per a les proves de llocs de modhader HAO Nguyen, que és utilitzat per més de 400 mil persones.
Quan Nguyen es va adonar que gasta més i més diners i temps per donar suport a Modheader, va intentar incloure publicitat en extensió, però després d'una gran protesta, va haver de renunciar a això. A més, l'anunci no li va portar molts diners.
"Passaré almenys 10 anys per crear aquesta cosa, i no he pogut monetitzar-lo", reconeix el Nguyen. Parcialment culpa a Google per tancar les extensions pagades: segons ell, només va agreujar el problema dels desenvolupadors decebuts.
El propi Nguyen va abandonar inicialment diverses ofertes d'empreses que ofereixen per pagar la integració del seu codi a l'expansió, ja que rebrien un control complet sobre el treball del navegador i els dispositius d'usuari en qualsevol moment.
El codi Infatica era més senzill: es van limitar a l'encaminament de sol·licituds sense accés a les contrasenyes d'usuari desades, llegint la seva galeta o visualitzeu la pantalla de l'usuari. A més, la transacció aportaria Nguen almenys 1500 dòlars al mes.
Va estar d'acord, però en pocs dies va rebre moltes ressenyes d'usuaris negatius i va suprimir el codi Infatica. A més, l'expansió va començar a utilitzar per veure "No hi ha molt bons llocs, com ara porno", notes per modheader.
El capítol Infatica posseeix el servei Ininja VPN VPN amb un públic de 400 mil usuaris. També utilitza els mateixos sistemes per a l'encaminament del trànsit: una extensió de Chrome i el marcador de publicitat del mateix anomenat, que conté Infatica.
Infatica és similar a Holavpn - Servei VPN amb una extensió del navegador. El 2015, els investigadors de la ciberseguretat van trobar que els que havien establert l'extensió Hola es van utilitzar per redirigir el trànsit d'altres persones.
L'equip de màrqueting Infatica només compara el seu model de negoci amb el model Holavpn, Notes Krebs.
Què tan gran és el mercat d'extensions
El segon projecte de Nguen: el servei d'estadístiques de Chrome-Stats.com, que conté informació sobre més de 150 mil extensions, la versió ampliada del servei s'ofereix per la subscripció.
Segons les estadístiques de Chrome, més de 100 mil extensions són abandonats pels autors o no s'han actualitzat durant més de dos anys. Aquest és un important embassament de desenvolupadors que poden acceptar vendre el seu projecte i la seva base personalitzada conclou Krebs.
Quantes extensions utilitzen el codi Infatica desconegut: Krebs va trobar almenys tres dotzenes, diverses d'elles tenien més de 100 mil usuaris. Un d'ells és el vídeo Downloader Plus, l'audiència de la qual es trobava al cim d'1,4 milions d'usuaris actius.
Com no arribar a una expansió maliciosa
Els permisos de cada expansió s'escriuen en el seu "Manifest": la descripció està disponible durant la seva instal·lació. Segons les estadístiques de crom, aproximadament un terç de totes les extensions de Chrome no requereixen permisos especials, però la resta requereix una confiança completa de l'usuari.
Per exemple, aproximadament el 30% de les extensions poden veure les dades de l'usuari en tots o llocs específics, així com Índex Obrir pestanyes i accions perfectes a les pàgines web. 68 mil extensions poden realitzar un codi arbitrari a la pàgina canviant la funcionalitat o l'aparença del lloc.
En instal·lar extensions, cal que tingueu molta cura i trieu els que estiguin recolzats activament pels autors i responguin a les preguntes de l'usuari, Krebs creu.
Si l'extensió demana actualitzar-se i de sobte sol·licita més permisos que abans: això és un motiu per pensar que alguna cosa està malament amb ell. Si aquesta expansió tenia accés complet, Krebs recomana retirar-lo completament.
A més, també podeu carregar i establir una extensió, ja que el lloc s'escriu que és necessari veure alguns continguts: gairebé sempre significa un gran risc, assenyala un especialista de ciberseguretat.
I sempre heu d'adherir-vos a la regla de seguretat de la primera xarxa: "Si no ho heu buscat, no instal·leu".
# Extensions de navegadors
Una font