Handel rozszerzeniami stał się poważnym zagrożeniem dla użytkowników Google Chrome
Instalowanie rozszerzeń Chrome z oficjalnego sklepu Google'a wzamierzeniu producenta przeglądarki miało być bardzo łatwe ibardzo bezpieczne. Niewątpliwie pozostaje ono wciąż bardzo łatwe,ale z bezpieczeństwem przestało być już tak dobrze. Spamerzy itwórcy szkodliwego oprogramowania znaleźli oto sposób, bywykorzystać największe zalety mechanizmu rozszerzeń tejprzeglądarki do własnych celów. Największą zaletą rozszerzeń Chrome'a, w porównaniu dorozszerzeń Firefoksa, jest niemal całkowita automatyzacja procesuich aktualizacji. Bez konieczności ingerencji użytkownika, pozwalaon na pobranie najnowszych wersji rozszerzeń z Chrome Web Store,zainstalowanie ich i uruchomienie, bez konieczności restartowaniaprzeglądarki, a nawet bez zauważalnych przerw w działaniurozszerzeń. Co więcej, mechanizm aktualizacji dba o bezpieczeństwoużytkownika, żądając wyrażenia zgody na ewentualne zwiększenieuprawnień rozszerzenia w nowej wersji – jeśli zgoda taka niebędzie udzielona, rozszerzenie nie będzie aktywne. Od stronytechnicznej zabezpieczeniom rozszerzeń nie można za wiele zarzucić:format CRX (w zasadzie to lekko zmodyfikowany ZIP), w którym są onerozpowszechniane, zawiera w nagłówku pliku klucz publiczny jegoautora i podpis weryfikujący zawartość archiwum, a samo Chrome WebStore przekazuje CRX-y po szyfrowanym połączeniu TLS.[img=chromeext]Lukę udało się znaleźć od strony, jeśli można tak tookreślić, ludzkiej. Wykorzystano fakt, że instalując rozszerzenieużytkownik godzi się na to, że otrzyma napisany przez kogośinnego kod na swoją przeglądarkę. Weryfikacja rozszerzeńtrafiających do Chrome Web Store pozwala oczywiście odsiaćzłośliwy kod – ale tylko na początku, przy debiucie rozszerzeniaw sklepie. Kolejne aktualizacje to już tylko kwestia zaufaniaużytkownika do producenta dodatku. A co, jeśli aktualizującyrozszerzenie nie jest tą samą osobą, która je stworzyła? Nie manajmniejszego problemu, by nawet całkiem popularne rozszerzeniakupić. Ich autorzy w ostatnich czasach zaczęli otrzymywaćregularnie oferty kupna napisanych przez siebie dodatków. Jednym znich jest Amit Agarwal, twórca rozszerzenia Add to Feedly, zktórego korzystało około 30 tys. osób. Otrzymałon propozycję odkupienia swojego rozszerzenia za czterocyfrowąkwotę. Gdy pieniądze zmieniły właścicieli za pomocą PayPala,przekazał on kontrolę nad napisanym rozszerzeniem na inne konto wGoogle.Miesiąc później nowywłaściciel rozszerzenia wydał pierwszą jego aktualizację.Przynosiła ona całkiem „interesujące” innowacje: wstrzykiwaław strony internetowe reklamy i przekierowywała linki. Mechanizmaktualizacji Chrome po cichu zainstalował ją u wszystkich 30tysięcy użytkowników rozszerzenia. Mechanizm chroniący przedposzerzeniami uprawnień rozszerzeń na niewiele się zdał –aktualizacja i tak miała już do dyspozycji wszystko, czegopotrzebowała. Większość rozszerzeń Chrome ma bowiem prawo dodostępu do danych użytkownika na wszystkich stronach WWW, a topozwala na działania w stylu przekierowywania linków czywstrzykiwania reklam.Co gorsze dla użytkowników Chrome, złośliwa aktualizacja nieograniczy się tylko do jednego komputera, lecz dotknie zwyklewszystkie podłączone do danego Konta Google instancje przeglądarki.Skasowanie i reinstalacja Chrome powodują tylko reinstalacjępakietu rozszerzeń. Na początku zresztą trudno ustalić, żeproblem tkwi w Chrome – skanery oprogramowania zabezpieczającegonie traktują JavaScriptu w rozszerzeniach Chrome jako potencjalnegozagrożenia. Jak można się też spodziewać, same rozszerzenia niemają też zwykle dzienników zmian, a nawet jeśli by miały, tonowi właściciele raczej nie będą się w nich chwalić, że otopoprzez aktualizację zamienili nam przeglądarkę WWW w przeglądarkęreklam.Najsmutniejsze w tym wszystkim jest to, że sami użytkownicywyraźnie nie wiedzą, co mogą w tej sytuacji zrobić. Być możewielu nawet nie wie o istnieniu strony chrome://extensions, w którejmogą złośliwe rozszerzenie odinstalować (o ile ustalą już, żeto o rozszerzenie chodzi). W wypadku wspomnianego Add to Feedly, mimolicznych komentarzy w Chrome Web Store sygnalizujących problem,liczba jego użytkowników wcale nie malała, a wręcz przeciwnie –kilka dni temu przekroczyła 31,5 tysiąca. W tym konkretnym wypadkupomogła dopiero interwencja administratorów Google'a, którzyręcznie usunęli rozszerzenie ze sklepu.Najprostszym rozwiązaniem tego problemu byłoby wprowadzeniemechanizmu domyślnie blokującego rozszerzenie w sytuacji, gdykontrola nad nim zostałaby przekazana na inne konto Google. I tojednak można obejść, choćby przez kupowanie całych KontGoogle'a, z powiązanymi z nimi rozszerzeniami. Docelowo koniecznejest więc przemyślenie całego modelu zaufania dla aktualizacji.Zmiany regulaminu niewiele tu pomogą, gdyż ani nikt nie jest wstanie zabronić deweloperom sprzedaży swoich rozszerzeń (jeślizechcą, to i tak znajdą na to sposób), ani też spamerzy i twórcyzłośliwego oprogramowania nie będą się specjalnie przejmowalitym, co akurat zostało przez Google zakazane. W tej grze chodzibowiem o szybki zarobek, ze świadomością, że wcześniej czypóźniej dane rozszerzenie zostanie usunięte czy zablokowane.Później zawsze przecież można kupić następne.
19.01.2014 16:02