Miksi kehittäjät ovat vaikeita monistaa hankkeitaan ja miten välttää haittaohjelmien asennusta.
KYBESECURITY SPECIALISTS Brian Krebs purjasi selaimen laajennuksia ja niiden rahallistamisen menetelmiä. Hän tuli johtopäätökseen, että jopa suosittuja laajennuksia satoja tuhansia käyttäjiä voi olla vaarallista liiketoimintamallinsa vuoksi.
Julkaisussaan Krebs puhuu Singapore Company Infaticasta Venäjän perustaja Vladimir Fomenko. Infatica tarjoaa web-välityspalveluja epätavallisella tavalla: Yhtiö neuvottelee laajennuskehittäjien kanssa niin, että Infratica-projektikoodi niiden hankkeissa on huomaamattomasti integroitu.
Tämän seurauksena Infatica-asiakasliikenteen reititin kulkee käyttäjän selaimen kautta, vastineeksi kehittäjä saa kiinteän maksun $ 15 - 45 dollaria kutakin tuhatta aktiivista käyttäjää varten.
Infatica on vain yksi varjoyritysten kasvavasta teollisuudesta, jotka yrittävät tehdä yhteistyötä suosittujen laajennusten kehittäjien kanssa ja käyttää kehitystään omiin tarkoituksiinsa. Kehittäjät joutuvat sopimaan vähintään jotenkin palauttamaan laajennustuen kustannukset, Krebs toteaa.
Miten talous on järjestetty laajennuksiin ja Infatica
Jotkut laajennukset Applen selaimille, Googlelle, Microsoftille ja Mozillalle kerää satoja tuhansia ja jopa miljoonia aktiivisia käyttäjiä. Koska yleisö kasvaa, laajennustekijä ei voi selviytyä projektituesta - sen päivitykset tai vastaukset käyttäjäpyyntöihin.
Samaan aikaan saada taloudellista korvausta teoksistaan tekijöillä vähän - tilaus voi pelottaa pois ja Google ilmoitti maksettujen laajennusten sulkemisesta Chrome Storessa.
Siksi joskus kirjoittajan laajennus muuttuu joko täydelliseen laajentumiseen tai jonkun toisen koodin piilotetun integroinnin. "Tämä tarjous on usein liian houkutteleva kieltäytyä," Krebs kirjoittaa.
Esimerkiksi tämä tehtiin laajentamisen kehittäjälle modalheer-sivustoille Hao Nguyen, jota käytetään yli 400 tuhatta ihmistä.
Kun Nguyen tajusi, että hän viettää enemmän rahaa ja aikaa tukemaan modileajaa, hän yritti sisällyttää mainontaa laajennukseen, mutta suuren protestin jälkeen hän joutui luopumaan tästä. Lisäksi mainos ei tuottanut häntä paljon rahaa.
"Minä vietän vähintään 10 vuotta tämän asian luomiseksi, enkä maksoi sitä," Nguyen tunnistaa. Osittain hän syyttää Googlea maksettujen laajennusten sulkemiseen - hänen mukaansa, se vain pahentaa pettyneiden kehittäjien ongelmaa.
Nguyen itse luopui aluksi useista tarjouksista, jotka tarjoavat maksamaan koodinsa yhdentymisen laajentamiseen, koska he saivat täydellisen hallinnan selaimen ja käyttäjän laitteiden työhön milloin tahansa.
Infatica-koodi oli yksinkertaisempi - ne rajoittuvat pyyntöjen reititykseen, jossa ei ole pääsyä tallennettuihin käyttäjän salasanoihin, lukemalla evästeen tai katselemaan käyttäjän näytön. Lisäksi liiketoimi tuo Nguen vähintään 1500 dollaria kuukaudessa.
Hän sopi, mutta muutamassa päivässä hän sai useita negatiivisia käyttäjien arvosteluja ja poistaa Infatica-koodia. Lisäksi laajennus alkoi käyttää "ei kovin hyviä paikkoja, kuten pornoa", Modheaderin muistiinpanoja.
Infatica-luvussa on ININJA VPN VPN -palvelu, jonka yleisö on 400 tuhatta käyttäjää. Se käyttää myös samoja järjestelmiä liikenteen reitittämiseen - Chromen laajennus ja samalle nimetty mainoslaippaaja, joka sisältää Infatica.
Infatica on samanlainen kuin HOLAVPN - VPN-palvelu, jossa on selaimen laajennus. Vuonna 2015 tietoturvatutkijat totesivat, että HOLA-laajennuksen perustaneet henkilöt käytettiin uudelleen liikenteen muiden ihmisten ohjaamiseen.
Infatica markkinointitiimi vastaa vain liiketoimintamalliaan HOLAVPN-mallilla, toteaa Krebs.
Kuinka suuri on laajennusmarkkinat
NEGUENin toinen hanke - Chrome-stats.com-tilastotietojen palvelu, joka sisältää tietoja yli 150 tuhatta laajennusta, palvelun laajennettu versio tarjotaan tilauksesta.
Chrome-tilastojen mukaan kirjoittajat hylkäävät yli 100 tuhatta laajennusta tai niitä ei ole päivitetty yli kaksi vuotta. Tämä on tärkeä kehittäjien säiliö, joka voi sopia hankkeen myynnistä ja sen mukautetun perustan päättelee Krebs.
Kuinka monta laajennusta käyttää Infatica-koodia tuntematon - Krebs löysi vähintään kolme kymmentä, useilla heistä oli yli 100 tuhatta käyttäjää. Yksi niistä on Video Downloader Plus, jonka yleisö oli 1,4 miljoonan aktiivisen käyttäjän huipulla.
Kuinka ei pääse haittaohjelmaan
Kunkin laajennuksen käyttöoikeudet on kirjoitettu "Manifesti" - kuvaus on käytettävissä sen asennuksen aikana. Chrome-tilastojen mukaan noin kolmasosa kaikista Chrome-laajennuksista ei edellytä erityisiä lupia, mutta loput edellyttävät täydellistä luottamusta käyttäjältä.
Esimerkiksi noin 30% laajennuksista voi tarkastella käyttäjätietoja kaikilla tai tiettyisillä sivustoilla sekä indeksin avoimet välilehdet ja täydelliset toimet verkkosivuilla. 68 tuhatta laajennusta voi suorittaa mielivaltaisen koodin sivulle muuttamalla sivuston toimivuutta tai ulkonäköä.
Kun asennat laajennuksia, sinun on oltava erittäin varovainen ja valita ne, joita kirjoittajat tukevat aktiivisesti ja vastata käyttäjän kysymyksiin, Krebs uskoo.
Jos laajennus pyytää päivittämään ja yhtäkkiä pyytää enemmän sallija kuin ennen - tämä on syytä ajatella, että hänellä on vikaa. Jos tällä laajennuksella oli täysi pääsy, Krebs suosittelee sen poistamista kokonaan.
Voit myös ladata ja asettaa laajennuksen, koska sivusto on kirjoitettu, että on tarpeen tarkastella jotain sisältöä - se tarkoittaa lähes aina suurta riskiä, panee merkille tietoverkkoelämän asiantuntijan.
Ja sinun täytyy aina kiinni ensimmäiseen verkkoturvallisuuteen: "Jos et etsi sitä, älä asenna."
# Selaimen laajennukset
Lähde