Detecte mudanças de proprietário em extensões do Chrome instaladas

 (github.com/classvsoftware)
2 pontos por GN⁺ 2024-03-07 | 1 comentários | Compartilhar no WhatsApp

Sob nova administração

  • Uma extensão com um recurso para verificar se as informações do desenvolvedor listadas na Chrome Web Store foram alteradas.
  • Verifica ocasionalmente mudanças de propriedade nas extensões instaladas.
  • Se houver alterações, um selo vermelho é exibido no ícone da extensão para alertar o usuário.
  • Criada por Matt Frisbie.
  • Discutida no Hacker News.

Por que isso é necessário?

  • Desenvolvedores de extensões recebem continuamente propostas de compra de suas extensões.
  • Na maioria dos casos, esses compradores tentam enganar os usuários existentes.
  • Os usuários não percebem que a extensão mudou e ela agora pode estar comprometida.
  • Sob nova administração fornece notificações sobre mudanças de propriedade aos usuários, para que possam tomar decisões informadas sobre o software que estão usando.

Como instalar

  • Instale aqui: (aguardando aprovação na Chrome Web Store)
  • Ou baixe a release pré-compilada, extraia o arquivo .zip e carregue o diretório dist no Chrome.

Compilar a partir do código-fonte

  • Sob nova administração usa Parcel, React, Typescript e TailwindCSS.
  • Instale as dependências com yarn install.
  • Execute localmente com yarn start.
  • Gere a build de release com yarn build.

Por que um servidor externo é necessário?

  • O navegador tem regras especiais que impedem modificar domínios de marketplaces de extensões.
  • Por exemplo, não é possível configurar uma regra declarative_net_request para chromewebstore.google.com.
  • Portanto, esta extensão delega a verificação das informações do desenvolvedor ao servidor de API ExBoost.

Opinião do GN⁺

  • Esta extensão é uma ferramenta importante para ajudar os usuários a proteger sua privacidade e seus dados. Ao notificar os usuários quando a propriedade de uma extensão muda, ela permite reagir a potenciais riscos de segurança causados por essa mudança.
  • Mudanças de propriedade de extensões deveriam ser divulgadas de forma transparente aos usuários, e ferramentas que detectam essas mudanças desempenham um papel importante para manter a confiança dos usuários.
  • Outros projetos open source que oferecem essa tecnologia ou recursos semelhantes incluem o Privacy Badger da EFF e o Privacy Essentials do DuckDuckGo. Eles têm foco na proteção da privacidade online dos usuários.
  • Ao adotar esta extensão, é importante considerar se ela realmente detecta com precisão mudanças de propriedade e se essa detecção não afeta negativamente a experiência de navegação do usuário.
  • Como mudanças de propriedade podem representar riscos reais de segurança para o usuário, esse tipo de extensão é muito útil e necessário. No entanto, os usuários ainda devem permanecer atentos, pois a extensão talvez não consiga detectar perfeitamente todas as mudanças de propriedade, e uma mudança detectada nem sempre significa um resultado negativo.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-03-07
Comentário do Hacker News
  • Há alguns meses, o autor criou uma extensão gratuita e de código aberto que acelera os anúncios do YouTube e a compartilhou no Hacker News, onde chegou à página inicial. Uma semana depois, um usuário a copiou e promoveu sua própria versão no Reddit; ela viralizou e conquistou mais de 300 mil usuários. O autor questiona por que alguém copiaria uma extensão gratuita e de código aberto, e menciona que essa pessoa depois tentou vendê-la em vários sites por valores de cinco dígitos. Ele também diz ter descoberto que o desenvolvedor registrado na Chrome Web Store havia mudado.
    • O ID da extensão é derivado da chave privada fornecida pelo desenvolvedor no primeiro upload para a loja de aplicativos, e, se um upload posterior incluir um key.pem diferente, o ID muda. Se o ID mudou, é possível que o proprietário tenha mudado, mas o dono original também pode ter entregue a chave privada ao novo proprietário. Como o Google não exige a chave privada a cada upload, o novo proprietário pode enviar alterações sem ter acesso a essa chave.
    • Um usuário disse que o ecossistema de extensões é muito interessante e mencionou que está desenvolvendo ferramentas para essa área. Ele quer criar um repositório no GitHub voltado para extensões específicas para rastrear atualizações, enviar cada atualização para o repositório como mudanças, depois executar analisadores estáticos no código e experimentar análise de contaminação em tempo de execução.
    • O dono de uma popular extensão open source do Chrome disse que as doações recebidas ao longo dos anos não cobrem nem o gasto mensal com café. No entanto, ele já recebeu várias propostas para vender a extensão para fins maliciosos, e recusou todas. Argumentou que a moralidade do desenvolvedor original não deveria ser o único arcabouço de segurança e privacidade.
    • Como outro comentarista mencionou, a extensão é útil, mas isso deveria ser um recurso embutido no navegador desde o início. Houve uma pergunta sobre se a mudança de propriedade é notificada automaticamente ou se é preciso executar manualmente o comando "check". Também houve a opinião de que a política deveria ser alterada para exigir aprovação do usuário quando a propriedade de uma extensão mudar.
    • No caso das extensões do Firefox, a Mozilla opera o "Recommended Extensions Program", que passa por uma revisão técnica rigorosa feita por especialistas em segurança. No entanto, não está claro se todas as atualizações são revisadas antes do lançamento. Se todas as atualizações forem analisadas, isso pode resolver esse problema para extensões populares.
    • Quando uma extensão muda de mãos para fins maliciosos, muitas vezes o que se vende são as credenciais da conta de desenvolvedor do Google, então esses casos podem não ser detectados.
    • Um usuário disse que instalou o adblock há muito tempo e, ao reinstalá-lo em um computador novo, verificou as permissões. Para bloquear anúncios, ele precisa poder ver o que o usuário vê, mas ele nunca havia pensado em quantas permissões isso exige. Agora, usa pihole e não usa nenhuma extensão.
    • Foi levantada a dúvida se compradores maliciosos de extensões poderiam contornar esse problema mantendo o nome do desenvolvedor igual, e se a Chrome Web Store gerencia estritamente os nomes dos desenvolvedores.
    • Houve a opinião de que, embora concorde com o objetivo da extensão, enviar a lista de todas as extensões para uma rede de anúncios centrada em extensões é suspeito. Explicou-se que isso exige um servidor externo porque o navegador tem regras especiais para modificar domínios do marketplace de extensões.
    • Houve a opinião de que isso deveria ser um recurso embutido em todos os navegadores e que, quando o proprietário mudar, as atualizações deveriam ser desativadas automaticamente.