ตรวจจับการเปลี่ยนเจ้าของของส่วนขยาย Chrome ที่ติดตั้งไว้

 (github.com/classvsoftware)
2 คะแนน โดย GN⁺ 2024-03-07 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

ภายใต้การดูแลใหม่

  • ส่วนขยายที่มีความสามารถตรวจสอบว่าข้อมูลนักพัฒนาที่แสดงอยู่บน Chrome Web Store มีการเปลี่ยนแปลงหรือไม่
  • ตรวจสอบการเปลี่ยนเจ้าของของส่วนขยายที่ติดตั้งไว้เป็นระยะ
  • หากมีการเปลี่ยนแปลง จะแสดงแบดจ์สีแดงบนไอคอนของส่วนขยายเพื่อแจ้งเตือนผู้ใช้
  • สร้างโดย Matt Frisbie
  • มีการพูดคุยใน Hacker News

ทำไมจึงจำเป็น?

  • นักพัฒนาส่วนขยายได้รับข้อเสนอให้ขายส่วนขยายของตนอย่างต่อเนื่อง
  • ในหลายกรณี ผู้ซื้อเหล่านี้พยายามหลอกลวงผู้ใช้เดิม
  • ผู้ใช้อาจไม่รู้ว่าส่วนขยายมีการเปลี่ยนแปลงแล้ว และตอนนี้อาจถูกทำให้เป็นอันตรายได้
  • Under New Management จะแจ้งให้ผู้ใช้ทราบเมื่อมีการเปลี่ยนเจ้าของ เพื่อให้สามารถตัดสินใจอย่างมีข้อมูลเกี่ยวกับซอฟต์แวร์ที่ใช้งานอยู่

วิธีติดตั้ง

  • ติดตั้งได้ที่นี่: (กำลังรอการอนุมัติจาก Chrome Web Store)
  • หรือดาวน์โหลดรีลีสที่บิลด์ไว้ล่วงหน้า แล้วแตกไฟล์ .zip และโหลดไดเรกทอรี dist เข้า Chrome

บิลด์จากซอร์ส

  • Under New Management ใช้ Parcel, React, Typescript, TailwindCSS
  • ติดตั้ง dependency ด้วย yarn install
  • รันบนเครื่องโลคัลด้วย yarn start
  • บิลด์รีลีสด้วย yarn build

ทำไมต้องมีเซิร์ฟเวอร์ภายนอก?

  • เบราว์เซอร์มีกฎพิเศษเกี่ยวกับการแก้ไขโดเมนของมาร์เก็ตเพลสส่วนขยาย
  • ตัวอย่างเช่น ไม่สามารถตั้งกฎ declarative_net_request สำหรับ chromewebstore.google.com ได้
  • ดังนั้นส่วนขยายนี้จึงมอบหมายการตรวจสอบข้อมูลนักพัฒนาให้กับเซิร์ฟเวอร์ ExBoost API

ความเห็นของ GN⁺

  • ส่วนขยายนี้เป็นเครื่องมือสำคัญที่ช่วยให้ผู้ใช้ปกป้องความเป็นส่วนตัวและข้อมูลของตนเอง โดยจะแจ้งเตือนเมื่อมีการเปลี่ยนเจ้าของของส่วนขยาย เพื่อช่วยรับมือกับความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นจากการเปลี่ยนเจ้าของ
  • การเปลี่ยนเจ้าของส่วนขยายควรถูกเปิดเผยต่อผู้ใช้อย่างโปร่งใส และเครื่องมือที่ตรวจจับการเปลี่ยนแปลงลักษณะนี้มีบทบาทสำคัญในการรักษาความไว้วางใจของผู้ใช้
  • เทคโนโลยีนี้หรือโครงการโอเพนซอร์สอื่นที่มีฟีเจอร์คล้ายกัน ได้แก่ Privacy Badger ของ EFF และ Privacy Essentials ของ DuckDuckGo ซึ่งมุ่งเน้นการปกป้องความเป็นส่วนตัวออนไลน์ของผู้ใช้
  • สิ่งที่ควรพิจารณาเมื่อนำส่วนขยายนี้มาใช้คือ มันสามารถตรวจจับการเปลี่ยนเจ้าของได้อย่างแม่นยำจริงหรือไม่ และการตรวจจับดังกล่าวจะไม่ส่งผลเสียต่อประสบการณ์การท่องเว็บของผู้ใช้หรือไม่
  • เนื่องจากการเปลี่ยนเจ้าของอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยอย่างแท้จริงสำหรับผู้ใช้ ส่วนขยายลักษณะนี้จึงเป็นเครื่องมือที่มีประโยชน์และจำเป็นมาก อย่างไรก็ตาม ผู้ใช้ยังควรระมัดระวังอยู่เสมอ เพราะส่วนขยายอาจไม่สามารถตรวจจับการเปลี่ยนเจ้าของได้ครบถ้วนทั้งหมด และการเปลี่ยนแปลงที่ตรวจพบก็ไม่ได้หมายความว่าจะนำไปสู่ผลลัพธ์ด้านลบเสมอไป

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-03-07
ความคิดเห็นบน Hacker News
  • เมื่อไม่กี่เดือนก่อน ผู้เขียนได้สร้างส่วนขยายโอเพนซอร์สฟรีที่ทำให้โฆษณา YouTube ผ่านไปเร็วขึ้น และแชร์บน Hacker News จนขึ้นหน้าแรก หนึ่งสัปดาห์ต่อมา มีผู้ใช้คนหนึ่งคัดลอกมันไปและโปรโมตเวอร์ชันของตัวเองบน Reddit ซึ่งกลายเป็นไวรัลและมีผู้ใช้มากกว่า 300,000 คน ผู้เขียนตั้งคำถามว่าทำไมถึงต้องคัดลอกส่วนขยายโอเพนซอร์สฟรีนี้ และกล่าวถึงว่าผู้ใช้คนนั้นพยายามขายมันในหลายเว็บไซต์ภายหลังด้วยราคาหลักห้าหลัก นอกจากนี้ยังพบว่านักพัฒนาที่ลงทะเบียนใน Chrome Store ถูกเปลี่ยนไปแล้ว
    • ID ของส่วนขยายถูกสร้างมาจาก private key ที่นักพัฒนาให้ไว้ตอนอัปโหลดขึ้นแอปสโตร์ครั้งแรก และหากการอัปโหลดครั้งถัดไปมี key.pem คนละตัวรวมมาด้วย ID ก็จะเปลี่ยนไป หาก ID เปลี่ยน อาจเป็นไปได้ว่าเจ้าของเปลี่ยนแล้ว แต่ก็อาจเป็นกรณีที่เจ้าของเดิมส่งมอบ private key ให้เจ้าของใหม่เช่นกัน Google ไม่ได้ขอ private key ทุกครั้งที่อัปโหลด ดังนั้นเจ้าของใหม่จึงสามารถอัปโหลดการเปลี่ยนแปลงได้โดยไม่ต้องเข้าถึงคีย์นั้น
    • ผู้ใช้คนหนึ่งบอกว่าวงการระบบนิเวศของส่วนขยายนั้นน่าสนใจมาก และกำลังพัฒนาเครื่องมือสำหรับด้านนี้อยู่ โดยต้องการสร้าง GitHub repository สำหรับติดตามอัปเดตของส่วนขยายเป้าหมาย พุชแต่ละอัปเดตเข้า repository เป็นชุดการเปลี่ยนแปลง จากนั้นรัน static analyzer กับโค้ดและทดลองทำ runtime taint analysis
    • เจ้าของส่วนขยาย Chrome โอเพนซอร์สยอดนิยมรายหนึ่งกล่าวว่า เงินบริจาคที่ได้รับตลอดหลายปีที่ผ่านมา ยังไม่พอแม้แต่ค่าเข้าคาเฟ่หนึ่งเดือนด้วยซ้ำ แต่กลับได้รับข้อเสนอหลายครั้งจากคนที่อยากซื้อส่วนขยายไปใช้ในทางประสงค์ร้าย และเขาปฏิเสธทั้งหมด เขาโต้แย้งว่า กรอบการรักษาความปลอดภัยและความเป็นส่วนตัวไม่ควรขึ้นอยู่กับศีลธรรมของนักพัฒนาดั้งเดิมเพียงอย่างเดียว
    • ตามที่ผู้แสดงความเห็นอีกรายกล่าวไว้ ส่วนขยายนี้มีประโยชน์ แต่จริง ๆ แล้วควรเป็นฟีเจอร์ที่มีมาให้ในเบราว์เซอร์ตั้งแต่แรก มีคำถามว่ามันแจ้งการเปลี่ยนเจ้าของอัตโนมัติหรือไม่ หรือผู้ใช้ต้องรันคำสั่ง ตรวจสอบ ด้วยตนเอง นอกจากนี้ยังมีความเห็นว่าควรเปลี่ยนนโยบายให้การเปลี่ยนเจ้าของส่วนขยายต้องได้รับการอนุมัติจากผู้ใช้
    • สำหรับส่วนขยาย Firefox ทาง Mozilla มี "Recommended Extensions Program" ซึ่งผ่านการตรวจทานทางเทคนิคอย่างเข้มงวดโดยผู้เชี่ยวชาญด้านความปลอดภัย แต่ก็ยังไม่ชัดเจนว่าทุกอัปเดตจะถูกตรวจทานก่อนปล่อยหรือไม่ หากมีการตรวจทุกอัปเดตจริง ก็อาจแก้ปัญหานี้สำหรับส่วนขยายยอดนิยมได้
    • หากส่วนขยายเปลี่ยนมือไปเพื่อจุดประสงค์ไม่ดี กรณีแบบนี้มักตรวจจับไม่ได้ เพราะมักเป็นการขายข้อมูลรับรองของบัญชีนักพัฒนา Google ไปเลย
    • ผู้ใช้คนหนึ่งบอกว่าเคยติดตั้ง adblock ไว้นานมากแล้ว และเมื่อกลับมาติดตั้งใหม่บนคอมพิวเตอร์เครื่องใหม่ก็ได้ตรวจดูสิทธิ์ต่าง ๆ แม้ว่าการบล็อกโฆษณาจะต้องสามารถเห็นสิ่งที่ผู้ใช้กำลังดูอยู่ได้ แต่เขาไม่เคยคิดมาก่อนเลยว่ามันต้องขอสิทธิ์มากขนาดนั้น ตอนนี้เขาใช้ pihole และไม่ใช้ส่วนขยายเลย
    • มีการตั้งข้อสงสัยว่า ผู้ซื้อส่วนขยายไปใช้ในทางร้ายสามารถหลบเลี่ยงปัญหานี้ได้หรือไม่ด้วยการคงชื่อนักพัฒนาเดิมเอาไว้ และ Chrome extension store มีการกำกับดูแลชื่อนักพัฒนาอย่างเข้มงวดหรือไม่
    • มีความเห็นว่าแม้จะเห็นด้วยกับเป้าหมายของส่วนขยายนี้ แต่การส่งรายชื่อส่วนขยายทั้งหมดไปยังเครือข่ายโฆษณาที่อิงกับส่วนขยายนั้นก็น่าสงสัย โดยมีคำอธิบายว่าจำเป็นต้องใช้เซิร์ฟเวอร์ภายนอก เพราะเบราว์เซอร์มีข้อกำหนดพิเศษเกี่ยวกับการแก้ไขโดเมนของ marketplace ส่วนขยาย
    • มีความเห็นว่านี่ควรเป็นฟีเจอร์ที่ฝังมาในทุกเบราว์เซอร์ และถ้าเจ้าของเปลี่ยน การอัปเดตควรถูกปิดใช้งานอัตโนมัติ