為什麼開發人員難以將其項目批准,以及如何避免安裝惡意擴展。
Kybersecurity專家Brian Krebs拆解了瀏覽器的擴展市場和貨幣化方法。他得出結論,由於他們的商業模式,甚至具有數十萬名用戶的流行擴展可能是危險的。
在他的出版物中,Krebs與俄羅斯創始人Vladimir Fomenko談到新加坡公司Infatima。 Infatima以不尋常的方式提供Web代理服務:該公司與擴展開發人員協商,使其項目中的Infatima代理代碼不知不覺地整合。
因此,INFATIMA客戶端流量路由器正在通過用戶的瀏覽器運行,返回,開發人員接收每千名活動用戶的15美元到45美元的固定支付。
Infatima僅在播落公司的不斷發展行業中,試圖與流行擴展的開發人員合作,並為自己的目的使用他們的發展。開發商被迫同意至少以某種方式收回延期支持的成本,克雷斯筆記。
延伸和Infatima之間的經濟如何安排
Apple瀏覽器,谷歌,微軟和Mozilla的一些擴展會收集數十萬,甚至數百萬活躍的用戶。隨著觀眾的增長,擴展作者可能無法應對項目支持 - 其對用戶請求的更新或答案。
與此同時,為了獲得他們在作者中的作品的財務補償一點 - 訂閱可以嚇跑,谷歌宣布關閉Chrome商店的付費擴展。
因此,有時提交人的擴展成為完全銷售的擴展,或隱藏別人的代碼的集成。 “這個優惠往往太吸引人,無法拒絕它,”克雷斯寫道。
例如,這是由開發者的擴展開發者進行,用於測試Modheader Sites Hao Nguyen,它被超過400,000人使用。
當Nguyen意識到他花了越來越多的金錢和時間來支持Modheader,他試圖在延伸中包括廣告,但經過一個大的抗議,他不得不放棄這個。而且,廣告沒有帶給他很多錢。
“我將花費至少10年來創造這件事,我未能將其貨幣化,”Nguyen認識到。部分他歸咎於谷歌進行收費延長 - 根據他,它只加劇了開發人員失望的問題。
Nguyen本人最初拋棄了幾家公司提供的公司,以支付將其代碼的整合到擴展,因為它們會在任何時候完全控制瀏覽器和用戶設備的工作。
Infatima代碼更簡單 - 它們僅限於請求的路由,無需訪問保存的用戶密碼,讀取其cookie或查看用戶的屏幕。此外,交易將使南瓜每月至少1500美元。
他同意,但在幾天內,他收到了許多負面的用戶評論和刪除了Infatima代碼。此外,擴展開始用於查看“不是很好的地方,如色情片”,由Modheader說明。
Infatima章節擁有Ininja VPN VPN服務,具有400,000個用戶的受眾。它還使用相同的系統來路由流量 - Chrome和同名廣告攔截器的擴展名,其中包含Infatima。
Infatima類似於Holavpn - VPN服務,具有瀏覽器擴展。 2015年,網絡安全研究人員發現,那些建立了HOLA擴展的人被用來重定向其他人的交通。
Infatima營銷團隊與Holavpn Model進行比較它的商業模式,Notes Krebs。
延伸市場有多大
nguen的第二個項目 - Chrome-Stats.com的統計數據,其中包含有關超過150千千名擴展的信息,通過訂閱提供了擴展的服務。
根據Chrome-Stats,作者拋棄了超過10萬擴展,或者尚未更新超過兩年。這是一個重要的開發人員水庫,他們可能會同意銷售其項目及其定制基地的結論克雷布斯。
有多少個擴展使用Infatima代碼未知 - 克雷布斯至少發現了三個,其中幾個有超過10萬名用戶。其中一個是視頻下載程序,其中受眾的高峰是140萬活躍用戶。
如何不符合惡意擴張
每個擴展的權限在其“宣言”中拼寫出來 - 在安裝過程中可以使用描述。根據Chrome-Stats,大約三分之一的Chrome擴展不需要特殊許可,但其餘的需要對用戶完全信心。
例如,大約30%的擴展可以在全部或特定站點上查看用戶數據,以及索引打開選項卡和網頁上的完美動作。通過更改網站的功能或外觀,68千個擴展可以在頁面上執行任意代碼。
Krebs相信,在安裝擴展時,需要非常謹慎,並選擇那些積極支持的人並回應用戶問題。
如果擴展要求升級並突然要求更多的許可證,這是一個有理由認為他有問題。如果這種擴展有完全訪問權限,Krebs建議完全刪除它。
此外,您還可以加載和設置擴展,因為該網站是必要的,以查看某些內容 - 它幾乎總是意味著一個大風險,指出網絡安全專家。
而且你總是需要堅持第一個網絡安全規則:“如果你沒有尋找它,那就不要安裝。”
#瀏覽器擴展
來源