Proč jsou vývojáři obtížné zpeněžit své projekty a jak se vyhnout instalaci škodlivých rozšíření.
Kyberistická specialista Brian KREBS demontoval trh rozšíření pro prohlížeč a metody jejich monitalizace. Došel k závěru, že stanovení i populárních rozšíření se stovkami tisíců uživatelů mohou být nebezpečné kvůli jejich obchodnímu modelu.
Ve své publikaci, Krebse mluví o společnosti Singapur společnosti Insica s ruským zakladatelem Vladimir Fomenko. Insoratura poskytuje webové proxy služby neobvyklým způsobem: Společnost vyjednává s vývojáři expanze, takže kodex proxy infatica v jejich projektech nepředvídatelně integrovaných.
V důsledku toho běžící směrovač klienta infatica běží přes prohlížeč uživatelů, na oplátku, vývojář obdrží pevnou platbu od $ 15 na 45 dolarů za každého tisíce aktivních uživatelů.
Informa je pouze jedna v rostoucím průmyslu stínových firem, které se snaží spolupracovat se vývojáři populárních rozšíření a využít jejich rozvoj pro své vlastní účely. Vývojáři jsou nuceni souhlasit s přinejmenším nějakým způsobem výnosům nákladů na podporu rozšíření, poznámky Krebs.
Jak je ekonomika uspořádána mezi rozšířeními a inficitacy
Některé rozšíření pro prohlížeče Apple, Google, Microsoft a Mozilla sbírají stovky tisíc a dokonce miliony aktivních uživatelů. Vzhledem k tomu, že publikum roste, autor rozšíření se nesmí vyrovnat s podporou projektu - jeho aktualizace nebo odpovědi na požadavky uživatele.
Zároveň získat finanční kompenzaci za jejich díla u autorů trochu - předplatné může zbavit a Google oznámil uzavření placených rozšíření v obchodě Chrome.
Někdy se někdy rozšíření autora stane buď úplným prodejem expanze, nebo skrytá integrace kódu někoho jiného. "Tato nabídka je často příliš atraktivní, aby ho odmítla," píše Krebs.
Například to bylo provedeno vývojářem expanze pro testování MODHeader Sites Hao Nguyen, který je používán více než 400 tisíc lidí.
Když si Nguyen uvědomil, že stráví stále více peněz a čas na podporu modeader, snažil se zahrnout reklamu v rozšíření, ale po velkém protestu se musel vzdát toho. Kromě toho mu reklama nepřinesla spoustu peněz.
"Budu strávit nejméně 10 let, abychom tuto věc vytvořili, a já jsem to nedokázal zpeněžit," uznává Nguyen. Částečně obviňuje společnost Google pro uzavření placených rozšíření - podle něj, to jen zhoršil problém zklamaným vývojářům.
Nguyen sám zpočátku opustil několik nabídek společností nabízejí zaplatit za integraci jejich kódu do expanze, protože kdykoliv obdrží úplnou kontrolu nad prací prohlížeče a uživatelských zařízení.
Code Insica byl jednodušší - byly omezeny na směrování požadavků bez přístupu k uloženým uživatelským hesel, čtení svého cookie nebo zobrazení obrazovky uživatele. Kromě toho by transakce přinesla NGUEN nejméně 1500 dolarů za měsíc.
Dohodl se, ale za pár dní obdržel mnoho negativních recenzí uživatelů a odstranil kód infatica. Kromě toho se expanze začala používat k zobrazení "ne příliš dobré místa, jako je porno," poznámky modeaderem.
Kapitola infatica vlastní službu ININJA VPN VPN s publikem 400 tisíc uživatelů. Používá také stejné systémy pro směrování provozu - rozšíření pro chrom a stejný s názvem reklamní blokátor, který obsahuje inficitu.
Informa je podobná službě Holavpn - VPN s rozšířením prohlížeče. V roce 2015, výzkumníci kybernetické bezpečnosti zjistili, že ti, kteří založili prodloužení holu, byly použity k přesměrování provozu jiných lidí.
Marketingový tým infatica pouze porovnává svůj obchodní model s modelem Holavpn, poznámky Krebs.
Jak velký je prodloužení trh
Druhý projekt NGUEN - Služba statistiky Chrome-stats.com, která obsahuje informace o více než 150 tisících rozšíření, rozšířená verze služby je nabízena předplatným.
Podle Chrome-statistiky, více než 100 tisíc rozšíření je opuštěno autory nebo nebyly aktualizovány déle než dva roky. Jedná se o významný zásobník vývojářů, kteří se mohou dohodnout na prodeji svého projektu a jeho zakázková základna uzavírá Krebs.
Kolik rozšíření používá kód infatica neznámý - Krebs našel alespoň tři tucty, několik z nich mělo více než 100 tisíc uživatelů. Jedním z nich je video downloader plus, jejichž publikum bylo na vrcholu 1,4 milionu aktivních uživatelů.
Jak se dostat na škodlivou expanzi
Oprávnění každé expanze jsou uvedeny v jeho "manifestu" - popis je k dispozici během instalace. Podle Chrome-statistiky, asi třetina všech rozšíření chrome nevyžaduje zvláštní povolení, ale zbytek vyžaduje úplnou důvěru od uživatele.
Například asi 30% rozšíření může zobrazit uživatelská data o všech nebo specifických lokalitách, stejně jako indexové otevřené karty a perfektní akce na webových stránkách. 68 tisíc rozšíření může provádět libovolný kód na stránce změnou funkce nebo vzhledu webu.
Při instalaci rozšíření musíte být velmi opatrní a zvolit ty, které aktivně podporuje autory a reagují na otázky uživatele, KREBS věří.
Pokud rozšíření požádá o upgrade a náhle požaduje více povolení než dříve - to je důvod, proč je s ním něco špatného. Pokud tato expanze měla plný přístup, KREBS doporučuje zcela odstranit.
Také můžete také načíst a nastavit rozšíření, protože stránky je napsáno, že je nutné zobrazit nějaký obsah - téměř vždy znamená velké riziko, bere na vědomí specialisty na kybernetické bezpečnosti.
A vždy se musíte držet první pravidlo zabezpečení sítě: "Pokud jste ho nehledali, pak neinstalujte."
# Prohlížeče rozšíření
Zdroj