Erkennen Sie Eigentümerwechsel bei installierten Chrome-Erweiterungen

 (github.com/classvsoftware)
2 Punkte von GN⁺ 2024-03-07 | 1 Kommentare | Auf WhatsApp teilen

Unter neuer Leitung

  • Eine Erweiterung mit der Funktion, zu prüfen, ob sich die im Chrome Web Store gelisteten Entwicklerinformationen geändert haben.
  • Überprüft in unregelmäßigen Abständen Eigentümerwechsel bei installierten Erweiterungen.
  • Wenn es Änderungen gibt, wird am Symbol der Erweiterung ein rotes Badge angezeigt, um den Nutzer zu benachrichtigen.
  • Erstellt von Matt Frisbie.
  • In einer Hacker-News-Diskussion besprochen.

Warum ist das nötig?

  • Entwickler von Erweiterungen erhalten fortlaufend Angebote von Interessenten, die ihre Erweiterungen kaufen möchten.
  • In den meisten Fällen wollen diese Käufer die bestehenden Nutzer täuschen.
  • Nutzer bemerken nicht, dass sich die Erweiterung geändert hat, und sie kann nun kompromittiert sein.
  • Unter neuer Leitung informiert Nutzer über Eigentümerwechsel, damit sie fundierte Entscheidungen über die von ihnen verwendete Software treffen können.

Installation

  • Hier installieren: (wartet auf Genehmigung im Chrome Web Store)
  • Oder ein vorgefertigtes Release herunterladen, die .zip-Datei entpacken und das Verzeichnis dist in Chrome laden.

Aus dem Quellcode bauen

  • Unter neuer Leitung verwendet Parcel, React, Typescript und TailwindCSS.
  • Abhängigkeiten mit yarn install installieren.
  • Mit yarn start lokal ausführen.
  • Mit yarn build einen Release-Build erstellen.

Warum wird ein externer Server benötigt?

  • Browser haben besondere Regeln, die Domains von Erweiterungs-Marktplätzen verändern.
  • Zum Beispiel kann keine declarative_net_request-Regel für chromewebstore.google.com gesetzt werden.
  • Daher delegiert diese Erweiterung die Überprüfung der Entwicklerinformationen an den ExBoost-API-Server.

Meinung von GN⁺

  • Diese Erweiterung ist ein wichtiges Werkzeug, das Nutzern hilft, ihre Privatsphäre und ihre Daten zu schützen. Indem sie Nutzer benachrichtigt, wenn sich die Eigentümerschaft einer Erweiterung geändert hat, können potenzielle Sicherheitsrisiken durch einen Eigentümerwechsel adressiert werden.
  • Eigentümerwechsel von Erweiterungen sollten Nutzern transparent offengelegt werden, und Werkzeuge zum Erkennen solcher Änderungen spielen eine wichtige Rolle dabei, das Vertrauen der Nutzer zu erhalten.
  • Andere Open-Source-Projekte, die diese Technologie oder ähnliche Funktionen bieten, sind etwa EFFs Privacy Badger oder DuckDuckGos Privacy Essentials. Sie konzentrieren sich auf den Schutz der Online-Privatsphäre der Nutzer.
  • Bei der Einführung dieser Erweiterung sollte berücksichtigt werden, ob sie Eigentümerwechsel tatsächlich zuverlässig erkennt und ob diese Erkennung die Browser-Erfahrung der Nutzer nicht negativ beeinflusst.
  • Da ein Eigentümerwechsel für Nutzer ein reales Sicherheitsrisiko darstellen kann, ist eine solche Erweiterung ein sehr nützliches und notwendiges Werkzeug. Allerdings sollten Nutzer weiterhin vorsichtig bleiben, da die Erweiterung möglicherweise nicht jeden Eigentümerwechsel perfekt erkennen kann und eine erkannte Änderung nicht immer negative Folgen bedeuten muss.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-03-07
Hacker-News-Kommentar
  • Vor einigen Monaten erstellte der Autor eine kostenlose Open-Source-Erweiterung, die YouTube-Werbung beschleunigt, teilte sie auf Hacker News, und sie schaffte es auf die Startseite. Eine Woche später kopierte ein Nutzer sie, bewarb seine eigene Version auf Reddit, und diese ging viral und gewann mehr als 300.000 Nutzer. Der Autor fragt sich, warum jemand eine kostenlose Open-Source-Erweiterung kopiert hat, und erwähnt, dass dieser Nutzer später versuchte, sie auf mehreren Seiten für einen fünfstelligen Betrag zu verkaufen. Außerdem habe er festgestellt, dass der im Chrome Store eingetragene Entwickler geändert wurde.
    • Die ID einer Erweiterung wird aus dem privaten Schlüssel abgeleitet, den der Entwickler beim ersten Upload in den App Store bereitstellt; wenn ein späterer Upload eine andere key.pem enthält, ändert sich die ID. Wenn sich die ID geändert hat, könnte der Eigentümer gewechselt haben, aber der ursprüngliche Eigentümer könnte dem neuen Besitzer auch den privaten Schlüssel übergeben haben. Google verlangt den privaten Schlüssel nicht bei jedem Upload, daher kann ein neuer Besitzer Änderungen hochladen, ohne Zugriff auf diesen Schlüssel zu haben.
    • Ein Nutzer sagte, das Ökosystem rund um Erweiterungen sei sehr interessant, und erwähnte, dass er Tools für diesen Bereich entwickelt. Er möchte für bestimmte Erweiterungen GitHub-Repositories anlegen, Updates verfolgen, jedes Update als Änderung in das Repository pushen, anschließend statische Analysatoren für den Code ausführen und mit Runtime-Taint-Analysen experimentieren.
    • Der Eigentümer einer beliebten Open-Source-Chrome-Erweiterung sagte, dass die über Jahre erhaltenen Spenden nicht einmal die monatlichen Café-Kosten decken. Er habe jedoch mehrfach Angebote erhalten, die Erweiterung für böswillige Zwecke zu kaufen, und habe sie alle abgelehnt. Er argumentierte, dass nicht allein die Moral des ursprünglichen Entwicklers das einzige Framework für Sicherheit und Datenschutz sein dürfe.
    • Wie ein anderer Kommentator erwähnte, ist diese Erweiterung nützlich, sollte aber eigentlich eine im Browser integrierte Funktion sein. Es gab die Frage, ob Eigentümerwechsel automatisch gemeldet werden oder ob man den Befehl „check“ manuell ausführen muss. Außerdem wurde die Meinung geäußert, dass die Richtlinie so geändert werden sollte, dass Änderungen der Eigentümerschaft die Zustimmung der Nutzer erfordern.
    • Bei Firefox-Erweiterungen betreibt Mozilla das „Recommended Extensions Program“, das strenge technische Prüfungen durch Sicherheitsexperten umfasst. Es ist jedoch nicht klar, ob alle Updates vor der Veröffentlichung überprüft werden. Falls tatsächlich alle Updates geprüft würden, könnte das dieses Problem bei populären Erweiterungen lösen.
    • Wenn Erweiterungen für böswillige Zwecke den Besitzer wechseln, wird oft einfach der Zugang zum Google-Entwicklerkonto verkauft, sodass solche Fälle möglicherweise nicht erkannt werden.
    • Ein Nutzer sagte, er habe vor langer Zeit adblock installiert und beim erneuten Installieren auf einem neuen Computer die Berechtigungen überprüft. Um Werbung zu blockieren, müsse die Erweiterung zwar sehen können, was der Nutzer sieht, aber er habe nie darüber nachgedacht, wie viele Berechtigungen das tatsächlich erfordert. Inzwischen nutze er pihole und überhaupt keine Erweiterungen mehr.
    • Es wurde die Frage aufgeworfen, ob Käufer böswilliger Erweiterungen dieses Problem umgehen könnten, indem sie einfach den Namen des Entwicklers beibehalten, und ob der Chrome-Erweiterungs-Store Entwicklernamen streng verwaltet.
    • Obwohl man dem Ziel der Erweiterung zustimmt, wurde angemerkt, dass es fragwürdig sei, die vollständige Liste aller Erweiterungen an ein werbenetzwerkartiges, auf Erweiterungen ausgerichtetes Netzwerk zu senden. Es wurde erklärt, dass dafür ein externer Server nötig sei, weil der Browser spezielle Regeln dafür habe, Domains von Erweiterungs-Marktplätzen zu verändern.
    • Es wurde die Meinung geäußert, dass diese Funktion in allen Browsern eingebaut sein sollte und Updates automatisch deaktiviert werden sollten, wenn sich der Besitzer ändert.