개발자는 프로젝트를 수익을 줄이기가 어렵고 악성 확장을 방지하는 방법을 어렵게합니다.
KyberSecurity Brian Krebs 브라우저 및 수익 창출 방법에 대한 확장 시장을 분해했습니다. 그는 수십만 명의 사용자가 수십만 명의 사용자와의 인기있는 확장을 설정하는 것이 비즈니스 모델로 인해 위험 할 수 있다는 결론에 왔습니다.
그의 출판물에서 Krebs는 러시아 창립자 블라디미르 푸노 코와 싱가포르 회사 인피아 라에 대해 이야기합니다. Infatica는 웹 프록시 서비스를 특이한 방식으로 제공합니다. 회사는 확장 개발자와 협상하여 프로젝트의 Infigationa 프록시 코드가 눈에 띄지 않게 통합되었습니다.
결과적으로 InfratiA 클라이언트 트래픽 라우터는 사용자의 브라우저를 통해 실행중인 경우 개발자는 각각의 9 개의 활성 사용자에 대해 15 달러에서 $ 45로 고정 된 지불을받습니다.
감염자는 인기있는 확장 프로그램 개발자와 협력하고 자신의 목적으로 개발을 이용하려는 섀도우 회사의 성장하는 산업에서만 하나뿐입니다. 개발자는 적어도 확장 지원 비용을 적어도 recoup에 동의해야만 KREBS 노트입니다.
경제가 확장과 감염 사이에 어떻게 배열되는지
Apple의 브라우저, Google, Microsoft 및 Mozilla의 일부 확장은 수십만 명의 수십만, 수백만 명의 활성 사용자를 수집합니다. 청중이 커지면 확장 저자는 업데이트 또는 사용자 요청에 대한 답변에 대한 프로젝트 지원에 대응할 수 없습니다.
동시에 저자의 작품에 대한 재정 보상을 조금씩 얻으려면 가입자가 멀리 떨어져있을 수 있으며 Google은 Chrome Store에서 유료 확장 폐쇄를 발표했습니다.
따라서 때로는 저자의 확장이 확장의 완전 판매 또는 다른 사람의 코드를 숨겨진 통합하는 것 중 하나가됩니다. "이 제안은 종종 그것을 거절하는 데 너무 매력적입니다."KREBS는 씁니다.
예를 들어, 이것은 Modheader 사이트 테스트를위한 확장 개발자가 400 만 명이 넘는 사람들이 사용하는 Hao Nguyen을 테스트하기위한 확장 개발자가 수행했습니다.
Nguyen이 Modheader를 지원하기 위해 점점 더 많은 돈과 시간을 보내는 것을 깨달았을 때, 그는 확장시 광고를 포함하려고했지만 큰 항의 후에 그는 이것을 포기해야했습니다. 또한, 광고는 그에게 많은 돈을 가져 오지 않았습니다.
"나는이 일을 만들기 위해 적어도 10 년을 보낼 것이고, 나는 수익을 창출하지 못했습니다."Nguyen은 인식합니다. 부분적으로 그는 유료 확장을 폐쇄하기 위해 Google을 비난합니다. 그에 따르면 실망한 개발자의 문제 만 악화되었습니다.
Nguyen 자신은 처음에는 브라우저 및 사용자 장치의 작업을 완벽하게 제어 할 수 있으므로 코드의 통합을 확장으로 지불 할 수있는 회사에 대한 몇 가지 제안을 포기했습니다.
Infatica 코드가 더 간단 해졌습니다 - 저장된 사용자 암호에 액세스 할 수없는 요청의 라우팅을 사용하여 쿠키를 읽거나 사용자 화면을 봅니다. 또한 거래는 한 달에 적어도 $ 1500 이상을 가져올 것입니다.
그는 동의했지만 며칠 후에 그는 많은 부정적인 사용자 리뷰를 받았고 감염법 코드를 삭제했습니다. 또한 확장은 modheader의 "포르노와 같은 아주 좋은 장소"를 보는 데 사용하기 시작했습니다.
Infatica 장은 400,000 명의 사용자의 잠재 고객과 함께 Ininja VPN VPN 서비스를 소유하고 있습니다. 또한 동일한 시스템을 사용하여 Chrome의 확장 및 감염자가 포함 된 동일한 광고 차단기를위한 확장자입니다.
Infatica는 브라우저 확장이있는 HOLAVPN-VPN 서비스와 유사합니다. 2015 년 사이버 보안 연구원은 Hola 확장자를 수립 한 사람들이 트래픽 다른 사람들을 리디렉션하는 데 사용되었습니다.
감염자 마케팅 팀은 비즈니스 모델을 Holavpn 모델과 비교하고 Krebs를 비교합니다.
확장 시장은 얼마나 큽니다
NGUEN의 두 번째 프로젝트 - chrome-stats.com의 통계의 통계 서비스는 150,000 개 이상의 확장 정보를 포함하고 있으며, 확장 된 버전의 서비스는 구독에서 제공됩니다.
Chrome-Stats에 따르면, 100,000 명 이상의 확장을 저자가 포기하거나 2 년 이상 업데이트되지 않았습니다. 이것은 프로젝트를 판매하는 것에 대해 잘 알고있는 개발자의 중요한 저수지이며 사용자 정의 기지는 KREBS를 결론지었습니다.
얼마나 많은 확장 기능을 사용하는 감염자 코드는 알 수 없음 - KREBS는 적어도 3 개 이상을 발견했으며, 그 중 몇 명은 100,000 명 이상의 사용자가있었습니다. 그 중 하나는 비디오 다운 로더 플러스, 그 중 140 만 명의 활성 사용자의 최고점에있었습니다.
악의적 인 확장에 도달하지 않는 방법
각 확장의 사용 권한은 "Manifesto"에서 철자가 마련되어 있습니다. 설치 중에 설명을 사용할 수 있습니다. Chrome-Stats에 따르면, 모든 크롬 확장의 3 분의 1은 특별한 허가가 필요하지 않지만 나머지는 사용자로부터 완전한 자신감을 필요로합니다.
예를 들어 확장의 약 30 %는 모든 또는 특정 사이트에서 사용자 데이터를 볼 수 있으며 웹 페이지의 색인 열기 탭 및 완벽한 작업을 볼 수 있습니다. 68,000 개의 확장은 사이트의 기능이나 모양을 변경하여 페이지에서 임의 코드를 수행 할 수 있습니다.
확장 프로그램을 설치할 때는 매우 조심스럽게 작성자가 적극적으로 지원하고 사용자 질문에 답변하고 사용자 질문에 응답해야합니다. KREBS는 믿습니다.
확장이 업그레이드하라는 경우 이전보다 더 많은 허가를 요청하는 경우 - 이것은 그에게 무언가가 잘못되었다고 생각하는 이유입니다. 이 확장이 전체 액세스 권한이있는 경우 KREBS는 완전히 제거 할 것을 권장합니다.
또한 사이트가 쓸 수 있으므로 사이트가 쓸 필요가 있으므로 거의 항상 큰 위험을 의미하며 사이버 보안 전문가를 의미하는 것을 의미하기 때문에 확장을로드하고 설정할 수도 있습니다.
그리고 항상 첫 번째 네트워크 보안 규칙을 집어 넣어야합니다. "사용자가 그것을 찾지 못했다면 설치하지 마십시오."
# 브라우저 확장자
자원