Hvorfor utviklere er vanskelige å tjene penger på sine prosjekter og hvordan du kan unngå installasjon av ondsinnede utvidelser.
Kybersecurity Spesialist Brian Krebs demonterte markedet for utvidelser for nettleseren og metodene for deres inntektsføring. Han kom til den konklusjonen at å sette selv populære utvidelser med hundretusener av brukere kan være farlige på grunn av sin forretningsmodell.
I sin publikasjon snakker Krebs om Singapore-firmaet Infatica med den russiske grunnleggeren Vladimir Fomenko. Infatica tilbyr webproxy-tjenester på en uvanlig måte: Selskapet forhandler med ekspansjonsutviklere, slik at infatica-proxy-koden i deres prosjekter umerkelig integrert.
Som et resultat går Infatica Client Traffic Router gjennom brukerens nettleser, i retur mottar utvikleren en fast betaling fra $ 15 til $ 45 for hver tusen aktive brukere.
Infatica er bare en i den voksende industrien av skyggefirmaer som prøver å samarbeide med utviklerne av populære utvidelser og bruke utviklingen for sine egne formål. Utviklerne er tvunget til å bli enige om minst på en eller annen måte å hente kostnadene for forlengelsesstøtte, Krebs notater.
Hvordan økonomien er ordnet mellom utvidelser og infatica
Noen utvidelser for Apples nettlesere, Google, Microsoft og Mozilla samler hundretusener, og til og med millioner av aktive brukere. Når publikum vokser, kan ekspansjonsforfatteren ikke takle prosjektstøtten - oppdateringer eller svar på brukerforespørsler.
Samtidig, for å få økonomisk kompensasjon for sine arbeider i forfattere litt - et abonnement kan skremme seg bort, og Google annonserte nedleggelsen av betalte utvidelser i Chrome-butikken.
Derfor blir det noen ganger utvidelsen for forfatteren enten et komplett salg av utvidelse, eller skjult integrering av andres kode. "Dette tilbudet er ofte for attraktivt å nekte det," skriver Krebs.
For eksempel ble dette gjort av utvikleren av ekspansjon for testing av Modheader-områder Hao Nguyen, som brukes av mer enn 400 tusen mennesker.
Når Nguyen skjønte at han tilbringer mer og mer penger og tid til å støtte Modheader, prøvde han å inkludere reklame i forlengelsen, men etter en stor protest måtte han gi opp dette. Videre tok annonsen ikke ham mye penger.
"Jeg vil tilbringe minst 10 år for å skape denne tingen, og jeg klarte ikke å tjene penger på det," gjenkjenner Nguyen. Delvis skyller han google for å lukke betalte utvidelser - ifølge ham forverret det bare problemet med skuffede utviklere.
Nguyen selv opprinnelig forlot flere tilbud av selskaper som tilbyr å betale for integrering av koden i ekspansjon, da de ville få full kontroll over arbeidet i nettleseren og brukerenhetene til enhver tid.
Infatica-koden var enklere - de var begrenset til rutingen av forespørsler uten tilgang til lagrede brukerpassord, som leser informasjonskapsel eller vis brukerens skjerm. I tillegg vil transaksjonen bringe Nguen minst $ 1500 per måned.
Han ble enige om, men om noen dager fikk han mange negative brukeranmeldelser og slettet Infatica-koden. I tillegg begynte ekspansjonen å bruke for å se "ikke veldig gode steder, for eksempel porno," Notater av Modheader.
Infatica-kapittelet eier Ininja VPN VPN-tjenesten med et publikum på 400 000 brukere. Den bruker også de samme systemene til å rive trafikk - en utvidelse for krom og den samme navngitte annonseringsblokkeren, som inneholder Infatica.
Infatica ligner på Holavpn - VPN-tjenesten med en nettleserutvidelse. I 2015 fant cybersikkerhetsforskere at de som hadde etablert Hola-utvidelsen, ble brukt til å omdirigere trafikk andre mennesker.
Infatica Marketing Team sammenligner bare sin forretningsmodell med Holavpn-modellen, Noter Krebs.
Hvor stor er forlengelsesmarkedet
Det andre prosjektet av Nguen - tjenesten til statistikk over Chrome-stats.com, som inneholder informasjon om mer enn 150 tusen utvidelser, den utvidede versjonen av tjenesten tilbys av abonnement.
Ifølge Chrome-stats blir mer enn 100 tusen utvidelser forlatt av forfatterne eller ikke blitt oppdatert i mer enn to år. Dette er et betydelig reservoar av utviklere som kanskje godt er enige om å selge prosjektet og den tilpassede basen konkluderer med Krebs.
Hvor mange utvidelser bruker Infatica-koden ukjent - Krebs fant minst tre dusin, flere av dem hadde mer enn 100 tusen brukere. En av dem er Video Downloader Plus, som publikum var på toppen av 1,4 millioner aktive brukere.
Hvordan ikke komme til ondsinnet ekspansjon
Tillatelsene til hver ekspansjon er stavet ut i sin "manifest" - beskrivelsen er tilgjengelig under installasjonen. Ifølge Chrome-stats, krever omtrent en tredjedel av alle Chrome-utvidelser ikke spesielle tillatelser, men resten krever fullstendig tillit fra brukeren.
For eksempel kan ca 30% av utvidelsene vise brukerdata på alle eller bestemte nettsteder, samt indeks åpne faner og perfekte handlinger på nettsider. 68 tusen utvidelser kan utføre vilkårlig kode på siden ved å endre funksjonaliteten eller utseendet på nettstedet.
Når du installerer utvidelser, må du være ekstremt forsiktig og velge de som aktivt støttes av forfatterne og svare på brukerens spørsmål, mener Krebs.
Hvis forlengelsen ber om å oppgradere og plutselig ber om flere tillatelser enn før - dette er en grunn til å tro at noe er galt med ham. Hvis denne utvidelsen hadde full tilgang, anbefaler Krebs helt å fjerne den.
Du kan også laste inn og sette en utvidelse, fordi nettstedet er skrevet om at det er nødvendig å se noe innhold - det betyr nesten alltid en stor risiko, notater en cybersikkerhetsspesialist.
Og du trenger alltid å holde fast i den første nettverkssikkerhetsregelen: "Hvis du ikke så etter det, må du ikke installere."
# Nettlesere utvidelser
En kilde