Prečo je vývojári ťažké speňažiť svoje projekty a ako sa vyhnúť inštalácii škodlivých rozšírení.
Kyberssecurity Specialist Brian Krebs demontoval trh rozšírení pre prehliadač a metódy ich spetizácie. Prišiel k záveru, že nastavenie dokonca populárne rozšírenie so stovkami tisícov používateľov môže byť nebezpečné kvôli ich obchodnému modelu.
Vo svojej publikácii Krebs hovorí o spoločnosti Singapur Infatica s ruským zakladateľom Vladimir Fomenko. Infatica poskytuje webové proxy služby nezvyčajným spôsobom: Spoločnosť vyjednáva s vývojármi expanzie, takže kód InfatA proxy v ich projektoch nepostrehne integrovaný.
Výsledkom je, že The InfatA Client Road Router beží prostredníctvom prehliadača používateľa, na oplátku, vývojár dostane pevnú platbu od $ 15 na $ 45 za každých tisíc aktívnych užívateľov.
Infatica je len jeden v rastúcom priemysle tieňových firiem, ktoré sa snažia spolupracovať s vývojármi populárnych rozšírení a využívajú ich vývoj na svoje vlastné účely. Vývojári sú nútení súhlasiť s aspoň nejakým spôsobom vybaviť náklady na podporu rozšírenia, Krebs Brits.
Ako je hospodárstvo usporiadané medzi rozšíreniami a Infatica
Niektoré rozšírenia prehliadačov spoločnosti Apple, Google, Microsoft a Mozilla zbierajú stovky tisíc, a dokonca milióny aktívnych užívateľov. Ako publikum rastie, Autor expanzie sa nesmie vyrovnať s podporou projektu - jeho aktualizácie alebo odpovede na požiadavky používateľa.
Zároveň, aby sa získala finančná kompenzácia za svoje diela u autorov - predplatné môže vystrašiť a spoločnosť Google oznámila uzavretie platených rozšírení v obchode s Chrome.
Preto, niekedy sa rozšírenie pre autora stáva buď úplný predaj expanzie, alebo skrytá integrácia kódu niekoho iného. "Táto ponuka je často príliš atraktívna na odmietnutie," píše Krebss.
To uskutočnilo napríklad vývojár expanzie na testovanie Modheads Sites Hao Nguyen, ktorý používa viac ako 400 tisíc ľudí.
Keď Nguyen uvedomil, že trávi viac a viac peňazí a času na podporu Modheader, snažil sa zahrnúť reklamu do rozšírenia, ale po veľkom proteste sa musel vzdať. Okrem toho mu reklama neponesi veľa peňazí.
"Budem stráviť aspoň 10 rokov, aby som vytvoril túto vec, a ja som to nesplnil," uznáva nguyen. Čiastočne obviňuje Google na uzavretie platených rozšírení - podľa neho to zhoršilo problém sklamaných vývojárov.
Nguyen sám sa pôvodne opustil niekoľko ponúk firiem, ktoré ponúkajú, aby zaplatili za integráciu svojho kódu do expanzie, pretože by to kedykoľvek dostali úplnú kontrolu nad prácou prehliadača a užívateľských zariadení.
Infatica kód bol jednoduchší - boli obmedzené na smerovanie požiadaviek bez prístupu k uloženým používateľským heslom, čítaním ich cookie alebo zobrazenie obrazovky používateľa. Okrem toho by transakcia priniesla NGUEN najmenej 1500 dolárov za mesiac.
Dohodol sa, ale za pár dní dostal mnoho negatívnych používateľských recenzií a odstránený kód Infatica. Okrem toho, expanzia začala používať na zobrazenie "nie veľmi dobrých miest, ako je porno," poznámky Modheader.
Kapitola INFATICA vlastní službu ININJA VPN VPN Service s publikom 400 tisíc používateľov. Používa tiež tie isté systémy na smerovanie prevádzky - rozšírenie pre chróm a rovnaký reklamný blokátor, ktorý obsahuje INFATICA.
InfatA je podobná službe HolaVPN - VPN s rozšírením prehliadača. V roku 2015, CyberSecurity Výskumníci zistili, že tí, ktorí založili rozšírenie Hola, boli použité na presmerovanie dopravných iných ľudí.
Infatica Marketing Tím práve porovnáva svoj obchodný model s modelom HolaVPN, poznámky Krebss.
Aký veľký je trh rozšírenia
Druhý projekt NGUEN - služba štatistiky Chrome-stats.com, ktorá obsahuje informácie o viac ako 150 tisíc rozšírení, rozšírená verzia služby ponúka predplatné.
Podľa Chrome-Stats, viac ako 100 tisíc rozšírení opustí autori alebo neboli aktualizované viac ako dva roky. Ide o významnú nádrž vývojárov, ktorí sa môžu dobre dohodnúť na predaji projektu a jeho vlastný základ uzatvára Krebs.
Koľko rozšírení používa kód INFATICA NEZNAMENÝ - Krebs našiel aspoň tri desiatky, niektoré z nich malo viac ako 100 tisíc používateľov. Jedným z nich je video downloader plus, ktorého publikum bolo na vrchole 1,4 milióna aktívnych užívateľov.
Ako sa dostať do škodlivého expanzie
Povolenia každej expanzie sú napísané v "Manifesto" - popis je k dispozícii počas jeho inštalácie. Podľa Chrome-Stats, približne tretina všetkých rozšírení chrómu nevyžadujú špeciálne povolenia, ale zvyšok si vyžaduje úplnú dôveru od užívateľa.
Napríklad asi 30% rozšírení môže zobraziť používateľské údaje na všetkých alebo špecifických lokalitách, ako aj indexové otvorené karty a dokonalé akcie na webových stránkach. 68 tisíc rozšírení môže vykonávať ľubovoľný kód na stránke zmenou funkčnosti alebo vzhľadu stránky.
Pri inštalácii rozšírení musíte byť veľmi opatrní a vybrať tie, ktoré sú aktívne podporované autormi a reagujú na používateľské otázky, Krebs verí.
Ak sa rozšírenie pýta na aktualizáciu a náhle žiada viac povolení ako predtým - to je dôvod myslieť si, že s ním je niečo zlé. Ak táto expanzia mala plný prístup, Krebs odporúča úplne odstrániť.
Tiež môžete tiež načítať a nastaviť predĺženie, pretože stránka je napísaná, že je potrebné zobraziť nejaký obsah - takmer vždy znamená veľké riziko, poznamenáva špecialista kybernetickej bezpečnosti.
A vždy sa musíte držať prvej bezpečnostnej bezpečnosti siete: "Ak ste to nepozerali, potom nenainštalujte."
# Rozšírenia prehliadačov
Zdroj