Détectez les changements de propriétaire des extensions Chrome installées

 (github.com/classvsoftware)
2 points par GN⁺ 2024-03-07 | 1 commentaires | Partager sur WhatsApp

Sous nouvelle direction

  • Une extension capable de vérifier si les informations du développeur listées sur le Chrome Web Store ont changé.
  • Vérifie périodiquement les changements de propriétaire des extensions installées.
  • En cas de changement, un badge rouge s’affiche sur l’icône de l’extension pour alerter l’utilisateur.
  • Créée par Matt Frisbie.
  • Discussion sur Hacker News.

Pourquoi est-ce nécessaire ?

  • Les développeurs d’extensions reçoivent continuellement des propositions de rachat de leurs extensions.
  • Dans la plupart des cas, ces acheteurs cherchent à tromper les utilisateurs existants.
  • Les utilisateurs peuvent ne pas se rendre compte que l’extension a changé et qu’elle peut désormais être compromise.
  • Sous nouvelle direction informe les utilisateurs des changements de propriétaire afin qu’ils puissent prendre des décisions éclairées concernant les logiciels qu’ils utilisent.

Comment l’installer

  • Installation ici : (en attente d’approbation sur le Chrome Web Store)
  • Ou téléchargez la release précompilée, décompressez le fichier .zip et chargez le répertoire dist dans Chrome.

Construire depuis les sources

  • Sous nouvelle direction utilise Parcel, React, Typescript et TailwindCSS.
  • Installez les dépendances avec yarn install.
  • Exécutez localement avec yarn start.
  • Construisez la release avec yarn build.

Pourquoi un serveur externe est-il nécessaire ?

  • Le navigateur applique des règles spéciales qui modifient le domaine des marketplaces d’extensions.
  • Par exemple, il est impossible de définir une règle declarative_net_request pour chromewebstore.google.com.
  • Cette extension délègue donc la vérification des informations du développeur au serveur API ExBoost.

L’avis de GN⁺

  • Cette extension est un outil important pour aider les utilisateurs à protéger leur vie privée et leurs données. En les alertant lorsqu’un changement de propriétaire d’une extension se produit, elle leur permet de réagir face aux risques de sécurité potentiels liés à ce changement.
  • Les changements de propriétaire des extensions devraient être rendus transparents pour les utilisateurs, et les outils capables de détecter ces changements jouent un rôle important pour maintenir leur confiance.
  • Parmi les autres projets open source proposant cette technologie ou des fonctionnalités similaires, on peut citer Privacy Badger de l’EFF ou Privacy Essentials de DuckDuckGo. Ils sont axés sur la protection de la vie privée en ligne des utilisateurs.
  • Parmi les points à considérer lors de l’adoption de cette extension : sa capacité à détecter avec précision les changements de propriétaire, et le fait que cette détection ne nuise pas à l’expérience de navigation.
  • Comme un changement de propriétaire peut représenter un risque de sécurité réel pour l’utilisateur, ce type d’extension est très utile et nécessaire. Toutefois, il faut garder à l’esprit qu’elle ne détectera peut-être pas parfaitement tous les changements de propriétaire et qu’un changement détecté n’implique pas toujours une conséquence négative ; les utilisateurs doivent donc rester vigilants.

À lire aussi

1 commentaires

 
GN⁺ 2024-03-07
Commentaire Hacker News
  • Il y a quelques mois, l’auteur a créé une extension gratuite et open source qui accélère les publicités YouTube et l’a partagée sur Hacker News, où elle a fait la une. Une semaine plus tard, un utilisateur l’a copiée et a fait la promotion de sa propre version sur Reddit ; elle est devenue virale et a attiré plus de 300 000 utilisateurs. L’auteur s’interroge sur la raison pour laquelle quelqu’un a copié une extension gratuite et open source, et mentionne que cette personne a ensuite essayé de la vendre sur plusieurs sites pour un montant à cinq chiffres. Il dit aussi avoir constaté que le développeur enregistré sur le Chrome Store avait changé.
    • L’identifiant d’une extension est dérivé de la clé privée fournie par le développeur lors du premier envoi sur l’App Store ; si un autre key.pem est inclus dans un envoi ultérieur, l’identifiant change. Si l’identifiant a changé, le propriétaire a peut-être changé lui aussi, mais le propriétaire d’origine a aussi pu transmettre la clé privée au nouveau propriétaire. Google n’exige pas la clé privée à chaque envoi, donc le nouveau propriétaire peut publier des modifications sans y avoir accès.
    • Un utilisateur dit que l’écosystème des extensions est vraiment fascinant et mentionne qu’il développe des outils pour ce domaine. Il veut créer un dépôt GitHub ciblant certaines extensions afin de suivre les mises à jour, pousser chaque mise à jour comme modification dans le dépôt, puis exécuter un analyseur statique sur le code et expérimenter une analyse de contamination à l’exécution.
    • Le propriétaire d’une extension Chrome open source populaire dit que les dons reçus pendant des années ne couvrent même pas un mois de dépenses en café. En revanche, il a reçu à plusieurs reprises des offres d’achat de l’extension à des fins malveillantes, qu’il a toutes refusées. Il affirme que la moralité du développeur d’origine ne devrait pas être le seul cadre de sécurité et de protection de la vie privée.
    • Comme l’a mentionné un autre commentateur, cette extension est utile, mais devrait à l’origine être une fonctionnalité intégrée au navigateur. Quelqu’un a demandé si le changement de propriétaire était signalé automatiquement, ou s’il fallait exécuter manuellement la commande check. Certains estiment aussi que les règles devraient être modifiées pour exiger l’approbation de l’utilisateur lors d’un changement de propriété d’une extension.
    • Pour les extensions Firefox, Mozilla gère un « programme d’extensions recommandées », qui fait l’objet d’un examen technique rigoureux par des experts en sécurité. En revanche, on ne sait pas clairement si toutes les mises à jour sont examinées avant publication. Si c’est le cas, cela pourrait résoudre ce problème pour les extensions populaires.
    • Si une extension change de mains à des fins malveillantes, cela peut parfois passer inaperçu, car ce qui est vendu dans ces cas-là, ce sont souvent les identifiants du compte développeur Google.
    • Un utilisateur explique avoir installé adblock il y a longtemps et, en le réinstallant sur un nouvel ordinateur, avoir vérifié les permissions. Pour bloquer les publicités, l’extension doit pouvoir voir ce que l’utilisateur regarde, mais il n’avait jamais vraiment réfléchi à l’ampleur des permissions demandées. Désormais, il utilise pihole et n’utilise plus du tout d’extensions.
    • Quelqu’un s’est demandé si des acheteurs malveillants d’extensions pouvaient contourner ce problème en conservant simplement le nom du développeur, et si le Chrome Web Store appliquait un contrôle strict sur les noms de développeurs.
    • Une personne dit être d’accord avec l’objectif de l’extension, mais trouve suspect d’envoyer la liste complète des extensions à un réseau publicitaire centré sur les extensions. Il est expliqué qu’un serveur externe est nécessaire parce que le navigateur applique des règles spéciales quand des domaines de marketplace d’extensions sont modifiés.
    • Certains estiment qu’il s’agit d’une fonctionnalité qui devrait être intégrée à tous les navigateurs, et que les mises à jour devraient être automatiquement désactivées lorsqu’un propriétaire change.