Jeśli rozszerzenie Chrome jest zainstalowane, ale wyłączone, czy nadal może mnie szpiegować?

50

Załóżmy, że rozszerzenie Chrome jest wyłączone i ma uprawnienia: „Odczytaj i zmień wszystkie dane w odwiedzanych witrynach” oraz „Przeczytaj historię przeglądania” lub inne podobne uprawnienia do śledzenia.

Czy te rozszerzenia Chrome mogą nadal uzyskiwać dostęp do tych uprawnień lub szpiegować Cię w inny sposób, nawet jeśli są wyłączone?

Załóżmy, że te rozszerzenia miały być wyłączone, ale następnie włączone na 5 sekund lub do 10 minut. Czy to możliwe, że mogą przesłać całą historię przeglądania do programistów w tak krótkim czasie, jeśli mogą „Przeczytać historię przeglądania”?

To pytanie dotyczy również przeglądarek takich jak Firefox.

google-chrome permissions google-chrome-extensions browser-addons privacy Michael d
źródło
4
Pytanie brzmi: czy rozszerzenie może zmodyfikować przeglądarkę w taki sposób, że może albo spowodować, że przycisk wyłączania nie będzie w zasadzie nic (tylko „wydawać się wyłączony”), albo włączyć się ponownie na późniejszym etapie? Jeśli odpowiedź na jedno z tych pytań brzmi „tak”, odpowiedź na powyższe pytanie brzmi „tak”. (Zostawię, czy jest to możliwe dla tych, którzy mają większą wiedzę niż ja).
SSight3
6
@ SSight3 Rozszerzenia nie mogą być uruchamiane na stronie rozszerzeń chrome: //, o ile mi wiadomo, więc nie jest możliwe, aby rozszerzenie podszywało się w stan włączonego / wyłączonego przełącznika.
Josh
2
Codzienne korzystanie z Google - Facebook, Twitter, cokolwiek - ma o wiele więcej możliwości gromadzenia informacji niż niektóre nowoczesne rozszerzenie Chrome. Nie żeby autor tego rozszerzenia nie miał wielkich ambicji, ale…
can-ned_food
4
Proszę nie oznaczać pytania jako odpowiedzi, a dzień później bez odpowiedzi i edytować je, aby zadać nowe pytanie. Jeśli zmienisz zdanie na temat pytania, naprawdę powinieneś zadać nowe osobne pytanie, po zaakceptowaniu odpowiedzi.
LPChip
2
@ can-ned_food Warto zauważyć, czy strach dotyczy analizowania danych, MITM można wdrożyć z dowolnego miejsca (sniffer HTTP, podejrzane CA, zły DNS, złośliwy hotspot Wi-Fi, backdoored router, itd.) i jeśli dana osoba obawia się przeglądarki przez firmę znaną z analizy danych, czy „czy moje rozszerzenia są nieszczelne?” Podejrzewam, że mogą przeoczyć znacznie większe problemy.
SSight3

Odpowiedzi:

58

Gdy rozszerzenie jest wyłączone, nie jest ładowane do pamięci i jako takie nie może nic zrobić.

Po włączeniu rozszerzenia ma on dostęp do całej historii przeglądarki, a jeśli rozszerzenie chce, może przesłać całą historię na serwer.

Zależy to od rozszerzenia, jeśli naprawdę to zrobi. Będą to rozszerzenia typu spyware, rozszerzenia, które mają na celu pomóc Ci zazwyczaj przesłać tylko stronę internetową, którą aktualnie przeglądasz, ale to, czy rozszerzenie to zrobi, czy nie, jest wyłącznie spekulacją.

Jeśli chcesz być bezpieczny i nie chcesz zezwalać, aby rozszerzenie transmitowało twoje dane na ich serwer, nie włączaj go nigdy.

LPChip
źródło
2
@wjandrea Możliwe jest odczytanie kodu źródłowego rozszerzeń chrome ( .crxpakietów).
rahuldottech
7
@DavidMulder Aby być pedantycznym, Firefox w większości skopiował system rozszerzeń Chrome, ponieważ był prostszy - przepisywali dużą część swojej bazy kodu, a istniejące interfejsy API rozszerzeń były ściśle związane z wewnętrznymi elementami, tak ciężko pracować. Wymuszanie przepisania każdego rozszerzenia ułatwiło ich życie, i mamy nadzieję, że nie będą musieli tego robić, ponieważ nowy interfejs API jest bardziej restrykcyjny i oddzielony od wewnętrznej implementacji. Model uprawnień to niezły bonus, ale biorąc pod uwagę, że większość rozszerzeń potrzebuje dostępu do DOM każdej strony, którą przeglądasz, nie przeszkadza to zbytnio.
IMSoP
2
@DavidMulder: Zakładasz, że w porządku, że Google ma wszystkie twoje dane w pierwszej kolejności.
Eric Duminil
4
@DavidMulder Nie wiemy, co robi Chrome, ponieważ nie widzimy kodu. Mówienie, że Chrome „w żaden sposób nie przekazuje danych Google” jest ewidentnie fałszywe; podczas wpisywania adresu URL w pasku adresu mierzyłem ruch do iz serwerów Google, zanim jeszcze wcisnąłem Enter!
wizzwizz4
2
@ wizzwizz4 Warto zauważyć, że SRWare Iron (wersja Chrome zorientowana na prywatność) opisuje niektóre ... niepokojące funkcje Chrome.
SSight3