Hvorfor udviklere er vanskelige at tjene penge på deres projekter og hvordan man undgår installation af ondsindede udvidelser.
KYBERSSCURITY Specialist Brian Krebs demonterede markedet for udvidelser til browseren og metoderne for deres monetisering. Han kom til den konklusion, at indstilling selv populære udvidelser med hundredtusindvis af brugere kan være farlige på grund af deres forretningsmodel.
I sin publikation snakker Krebs om Singapore-firmaet Infatica med den russiske grundlægger Vladimir Fomenko. Infatica leverer web-proxy-tjenester på en usædvanlig måde: Virksomheden forhandler med ekspansionsudviklerne, således at Infatica-proxy-koden i deres projekter umærkeligt integreret.
Som følge heraf løber Infatica-klienttrafikrouteren gennem brugerens browser, til gengæld, udvikleren modtager en fast betaling fra $ 15 til $ 45 for hver tusinde aktive brugere.
Infatica er kun en i den voksende industri af skyggefirmaer, der forsøger at samarbejde med udviklerne af populære udvidelser og bruge deres udvikling til eget formål. Udviklerne er tvunget til at acceptere i det mindste på en eller anden måde at genvinde omkostningerne ved udvidelsesstøtte, Krebs noter.
Hvordan økonomien er arrangeret mellem udvidelser og infatica
Nogle udvidelser til Apples browsere, Google, Microsoft og Mozilla samler hundredtusinder og endda millioner af aktive brugere. Da publikum vokser, kan udvidelsesforfatteren ikke klare projektstøtten - dets opdateringer eller svar på brugeranmodninger.
Samtidig, for at opnå økonomisk kompensation for deres værker i forfattere lidt - et abonnement kan skræmme væk, og Google meddelte lukningen af betalte udvidelser i Chrome Store.
Derfor bliver forlængelsen for forfatteren enten et komplet salg af ekspansion eller skjult integration af en andens kode. "Dette tilbud er ofte for attraktivt at nægte det," skriver Krebs.
For eksempel blev dette udført af udvikleren af ekspansion for at teste modheader sites Hao Nguyen, som bruges af mere end 400 tusind mennesker.
Da Nguyen indså, at han tilbringer flere og flere penge og tid til at støtte Modheader, forsøgte han at inkludere reklame i forlængelse, men efter en stor protest måtte han opgive dette. Desuden tog annoncen ikke ham mange penge.
"Jeg vil bruge mindst 10 år for at skabe denne ting, og jeg undlod at tjene penge på," genkender Nguyen. Delvist beskylder han Google for lukning af betalte udvidelser - ifølge ham forværrede det kun problemet med skuffede udviklere.
Nguyen har selv oprindeligt forladt flere tilbud om virksomheder, der tilbyder at betale for integrationen af deres kode i ekspansion, da de ville få fuldstændig kontrol over arbejdet i browseren og brugerenheder til enhver tid.
Infatica-koden var enklere - de var begrænset til routing af anmodninger uden adgang til gemte brugeradgangskoder, læsning af deres cookie eller se brugerens skærm. Derudover vil transaktionen bringe Nguen mindst $ 1500 pr. Måned.
Han blev enige om, men i et par dage fik han mange negative brugeranmeldelser og slettet Infatica-kode. Derudover begyndte udvidelsen at bruge til at se "ikke meget gode steder, såsom porno," noter af Modheader.
Infatica-kapitlet ejer Ininja VPN VPN-tjenesten med et publikum på 400.000 brugere. Det bruger også de samme systemer til at routere trafik - en udvidelse til krom og den samme navngivne reklamebloker, som indeholder Infatica.
Infatica ligner Holavpn - VPN-tjeneste med en browserudvidelse. I 2015 konstaterede CyberSecurity-forskere, at de, der havde etableret HOLA-udvidelsen, blev brugt til at omdirigere trafik andre mennesker.
Infatica Marketing Team sammenligner bare sin forretningsmodel med Holavpn-modellen, noter Krebs.
Hvor stor er udvidelsesmarkedet
Det andet projekt af Nguen - Tjenesten af statistikker af Chrome-stats.com, som indeholder oplysninger om mere end 150 tusind udvidelser, den udvidede version af tjenesten tilbydes ved abonnement.
Ifølge Chrome-Stats forlader mere end 100 tusind udvidelser af forfatterne eller ikke blevet opdateret i mere end to år. Dette er et væsentligt reservoir af udviklere, der måske er enige om at sælge deres projekt, og dets brugerdefinerede base konkluderer Krebs.
Hvor mange udvidelser bruger Infatica-koden ukendt - Krebs fundet mindst tre dusin, flere af dem havde mere end 100 tusind brugere. En af dem er video downloader plus, hvis publikum var på toppen af 1,4 millioner aktive brugere.
Hvordan ikke at komme til ondsindet ekspansion
Tilladelserne fra hver ekspansion er stavet ud i sin "manifesto" - beskrivelsen er tilgængelig under installationen. Ifølge Chrome-Stats kræver ca. en tredjedel af alle kromforlængelser ikke særlige tilladelser, men resten kræver fuldstændig tillid fra brugeren.
For eksempel kan ca. 30% af udvidelserne se brugerdata på alle eller bestemte websteder samt indeks åbne faner og perfekte handlinger på websider. 68 tusind udvidelser kan udføre vilkårlig kode på siden ved at ændre funktionaliteten eller udseendet på webstedet.
Når du installerer udvidelser, skal du være yderst forsigtig og vælge dem, der aktivt understøttes af forfatterne og reagere på brugernes spørgsmål, tror Krebs.
Hvis udvidelsen beder om at opgradere og pludselig anmoder mere tilladelser end før - dette er en grund til at tro, at noget er galt med ham. Hvis denne udvidelse havde fuld adgang, anbefaler Krebs helt at fjerne den.
Du kan også indlæse og indstille en udvidelse, fordi webstedet er skrevet, at det er nødvendigt at se noget indhold - det betyder næsten altid en stor risiko, noterer en cybersikkerhedsspecialist.
Og du skal altid holde fast i den første netværkssikkerhedsregel: "Hvis du ikke kiggede efter det, skal du ikke installere."
# Browsere udvidelser.
En kilde.