Как используют вас разработчики расширений для браузеров

Проверьте свой браузер, нет ли среди расширений, которые вы установили опасных. Разработчики часто добавляют вредоносный код без ведома пользователей.

Специалист по кибербезопасности Брайан Кребс разобрал рынок расширений для браузера и способов их монетизации. Он пришёл к выводу, что установка даже популярных расширений с сотнями тысяч пользователей может быть опасной из-за их бизнес-модели.

В своей публикации Кребс рассказывает о сингапурской компании Infatica с русским основателем Владимиром Фоменко. Infatica предоставляет услуги веб-прокси необычным способом: компания договаривается с разработчиками расширений, чтобы те незаметно интегрировали код прокси-сервиса Infatica в свои проекты.

В результате через браузер пользователя расширения идёт маршрутизация трафика клиентов Infatica, взамен разработчик получает фиксированную оплату от $15 до $45 за каждую тысячу активных пользователей.

Инфографика Infatica для владельцев расширений

Infatica — лишь одна в растущей индустрии теневых фирм, которые пытаются сотрудничать с разработчиками популярных расширений и использовать их разработки в своих целях. Разработчики же вынуждены согласиться, чтобы хоть как-то окупить затраты на поддержку расширения, отмечает Кребс.

Как устроена экономика между расширениями и Infatica

Некоторые расширения для браузеров Apple, Google, Microsoft и Mozilla собирают сотни тысяч, а то и миллионы активных пользователей. По мере роста аудитории автор расширения может не справляться с поддержкой проекта — его обновлениями или ответами на запросы пользователей.

При этом получить финансовую компенсацию за свои труды у авторов мало — подписка может отпугнуть, а Google объявила о закрытии платных расширений в магазине Chrome.

Поэтому порой выходом для автора становится либо полная продажа расширения, либо скрытая интеграция чужого кода. «Это предложение часто слишком привлекательно, чтобы от него отказываться», — пишет Кребс.

Например, так поступил разработчик расширения для тестирования сайтов ModHeader Хао Нгуен, сервисом которого пользуется более 400 тысяч человек.

Когда Нгуен понял, что тратит всё больше денег и времени на поддержку ModHeader, он попытался включить рекламу в расширении, но после большого протеста пользователей ему пришлось отказаться от этого. Более того, реклама не приносила ему много денег.

«Я потратит как минимум 10 лет на создание этой штуки, и мне не удалось её монетизировать», — признаётся Нгуен. Частично он винит Google за закрытие платных расширений — по его словам, это лишь усугубило проблему разочарованных разработчиков.

Это сложный рынок для авторов расширений, которые хотели бы монетизировать своё творение и получать за него плату. Множество мелких разработчиков не смогли ничего поделать с этим. И поэтому некоторые из них пойдут на теневую интеграцию чужого кода или продадут расширение за фиксированную цену и покончат с ним.

Хао Нгуен

Сам Нгуен поначалу отказался от нескольких предложений компаний, предлагающих заплатить за интеграцию их кода в расширение, так как они получили бы полный контроль над работой браузера и устройствами пользователей в любое время.

У Infatica код был более простым — они ограничились маршрутизацией запросов без получения доступа к сохраненным паролям пользователей, чтению их cookie или просмотру экрана пользователя. К тому же, сделка принесла бы Нгуену не менее $1500 в месяц.

Он согласился, но за несколько дней получил множество негативных отзывов пользователей и удалил код Infatica. К тому же расширение стали использовать для просмотра «не очень хороших мест, таких как порносайты», отмечает автор ModHeader.

Также глава Infatica владеет VPN-сервисом iNinja VPN с аудиторией 400 тысяч пользователей. Он тоже использует те же системы для маршрутизации трафика — расширение для Chrome и одноименный блокировщик рекламы, код которого содержит Infatica.

Работа Infatica похожа на HolaVPN — VPN-сервис с расширением для браузера. В 2015 году исследователи кибербезопасности обнаружили, что установивших расширение Hola использовали для перенаправления трафика других людей.

Маркетинговая команда Infatica как раз сравнивает свою бизнес-модель с моделью HolaVPN, замечает Кребс.

Скриншот из коммерческого предложения Infatica, отправленного разработчику расширения SponsorBlock
Насколько большой рынок расширений

Второй проект Нгуена — сервис статистики Chrome-stats.com, на котором собрана информация о более 150 тысяч расширений, расширенная версия сервиса предлагается по подписке.

По данным Chrome-stats более 100 тысяч расширений заброшены авторами или не обновлялись более двух лет. Это существенный пласт разработчиков, которые вполне могут согласиться на продажу своего проекта и его пользовательской базы, заключает Кребс.

Сколько расширений используют код Infatica неизвестно — Кребс нашёл как минимум три десятка, у нескольких из них было более 100 тысяч пользователей. Одно из них — Video Downloader Plus, аудитория которого составляла в пике 1,4 млн активных пользователей.

Как не попасть на вредоносное расширение

Права доступа каждого расширения прописаны в его «манифесте» — описание доступно во время его установки. По данным Chrome-stats, около трети всех расширений Chrome не требуют особых разрешений, но остальные требуют полного доверия со стороны пользователя.

Например, около 30% расширений могут просматривать данные пользователя на всех или определенных сайтах, а также индексировать открытые вкладки и совершенные действия на веб-страницах. 68 тысяч расширений могут выполнять произвольный код на странице, меняя функциональность или внешний вид сайта.

При установке расширений нужно быть предельно осторожным и выбирать те, что активно поддерживаются авторами и отвечают на вопросы пользователей, считает Кребс.

Если расширение просит обновиться и внезапно запрашивает больше разрешений, чем раньше — это повод задуматься, что с ним что-то не так. Если у этого расширения был полный доступ, Кребс рекомендует полностью удалить его.

Также нельзя загружать и устанавливать расширение, потому что на сайте написано, что оно нужно для просмотра какого-то контента — это практически всегда означает большой риск, замечает специалист по кибербезопасности.

И всегда стоит придерживаться первого правила сетевой безопасности: «Если вы это не искали, то и не устанавливайте».


Источник vc.ru | Автор Евгений Делюкин

Добавить комментарий

Войти с помощью: 

Ваш адрес email не будет опубликован.