Wie groß ist das Risiko für beliebte Chrome-Erweiterungen?

Ich bin dabei, auf Chromium umzusteigen, und habe einige Erweiterungen installiert. Bei jeder Installation einer Erweiterung wurde mir mitgeteilt, auf welche Daten die Erweiterung zugreifen kann, z.

Ich verstehe, dass der Zugriff auf diese Daten erforderlich ist, damit die Erweiterung funktioniert, aber ich bin ein bisschen besorgt, dass eine solche Erweiterung eines Tages möglicherweise alle meine Browserdaten aktualisieren und stehlen ("Nach Hause telefonieren") könnte.

Ein weiteres Beispiel für eine beängstigende Meldung (beim Aktivieren von Erweiterungen für Inkognito-Fenster):

Warnung: Chromium kann nicht verhindern, dass Erweiterungen Ihren Browserverlauf aufzeichnen. Deaktivieren Sie diese Option, um diese Erweiterung im Inkognito-Modus zu deaktivieren.

Ist das eine mögliche Bedrohung bei der Verwendung beliebter Chrome-Erweiterungen? Es ist etwas beängstigend, für jede neue Funktion, die Sie dem Browser hinzufügen, einer anderen Partei vertrauen zu müssen.

Sie vergessen Folgendes:

Je beliebter eine Erweiterung ist, desto geringer ist die Wahrscheinlichkeit, dass niemand merkt, dass das Add-On etwas Schädliches bewirkt.

Wenn Sie dagegen eine Erweiterung installieren, die noch niemand zuvor verwendet hat, riskieren Sie mehr als beispielsweise die Installation von AdBlock. Wenn man bedenkt, dass so viele Leute es benutzen, ist es fast sicher zu sagen: Jemand hätte ungewöhnlichen Verkehr bemerkt.

Tatsächlich enthüllen alle Erweiterungen ihren Quellcode, sodass jeder grundsätzlich vorgehen und selbst nach verdächtigen Dingen suchen kann.

Die Warnungen sind nur da, damit Sie den Browser-Anbietern keinen Schaden vorwerfen können, falls Sie etwas installieren, das mit Ihren Daten in Konflikt gerät. Lesen Sie immer die Bewertungen von Add-Ons, die für Sie verdächtig erscheinen, bevor Sie sie installieren.

Beachten Sie auch, dass Google beispielsweise die Einreichungen überprüfen kann:

Obwohl Google nicht verpflichtet ist, die Produkte oder deren Inhalt zu überwachen, kann Google Ihre Produkte und deren Quellcode jederzeit auf Einhaltung dieser Vereinbarung, der Programmrichtlinien für den Google Chrome Web Store und anderer anwendbarer Bestimmungen, Verpflichtungen und Gesetze überprüfen oder testen oder Vorschriften und können automatisierte Mittel verwenden, um eine solche Überprüfung durchzuführen

Das Entfernen einer Erweiterung kann dem Entwickler natürlich einige Probleme bereiten.

Es ist eine schwierige Risikobewertung, dies zu versuchen. Popularität bringt zwei Dinge:

• Mehr Leute versuchen es zu verbessern (fehlerhaften Code entdecken)
• Mehr Leute versuchen, es zu hacken (und schlechten Code einzuführen), um eine größere Nutzerbasis anzugreifen

Nehmen wir an, wir sprechen in diesen Beispielen von einem Open-Source-Projekt mit Code, der in so etwas wie Github gehostet wird.

Wenn etwas einen Entwickler hat, ist das nur eine Person, die den Code eincheckt. Wenn jemand (nicht der Entwickler) Code hinzufügen möchte, muss er den Entwickler entweder dazu verleiten, einen böswilligen Patch hinzuzufügen (es passiert), oder die Authentifizierung des Entwicklers als Ziel festlegen, damit er den Code selbst hinzufügen kann (es passiert auch). Die Wahrscheinlichkeit, dass eines dieser Ereignisse eintritt, hängt von den Fähigkeiten des Entwicklers und seiner Sicherheit ab.

Wenn es 10 Entwickler gibt, gibt es 10-mal so viele Angriffsvektoren. Aber auch 10-mal so viele Leute, die den Code erkennen könnten.

Ich bin sicher, es gibt einen Punkt in einem Projekt, an dem es genug Schwung gewinnt, um Leute dazu zu bringen, regelmäßige Sicherheitsüberprüfungen an seinem Code durchzuführen. Aber zu jeder Zeit davor sind es Schaukeln und Kreisverkehre.

tl; dr Es gibt zu hart , um realistisch zu trainieren. Es gibt zu viele menschliche Elemente. Wenn es darauf ankommt, vertrauen Sie ihm nicht, es sei denn, Sie können den Code selbst überprüfen.