Авторы расширений для браузеров встраивают чужой код, чтобы заработать — их пользователи становятся частью прокси-сетей

Почему разработчикам сложно монетизировать свои проекты и как избежать установки вредоносных расширений.

Авторы расширений для браузеров встраивают чужой код, чтобы заработать — их пользователи становятся частью прокси-сетей

Специалист по кибербезопасности Брайан Кребс разобрал рынок расширений для браузера и способов их монетизации. Он пришёл к выводу, что установка даже популярных расширений с сотнями тысяч пользователей может быть опасной из-за их бизнес-модели.

В своей публикации Кребс рассказывает о сингапурской компании Infatica с русским основателем Владимиром Фоменко. Infatica предоставляет услуги веб-прокси необычным способом: компания договаривается с разработчиками расширений, чтобы те незаметно интегрировали код прокси-сервиса Infatica в свои проекты.

В результате через браузер пользователя расширения идёт маршрутизация трафика клиентов Infatica, взамен разработчик получает фиксированную оплату от $15 до $45 за каждую тысячу активных пользователей.

Инфографика Infatica для владельцев расширений
Инфографика Infatica для владельцев расширений

Infatica — лишь одна в растущей индустрии теневых фирм, которые пытаются сотрудничать с разработчиками популярных расширений и использовать их разработки в своих целях. Разработчики же вынуждены согласиться, чтобы хоть как-то окупить затраты на поддержку расширения, отмечает Кребс.

Как устроена экономика между расширениями и Infatica

Некоторые расширения для браузеров Apple, Google, Microsoft и Mozilla собирают сотни тысяч, а то и миллионы активных пользователей. По мере роста аудитории автор расширения может не справляться с поддержкой проекта — его обновлениями или ответами на запросы пользователей.

При этом получить финансовую компенсацию за свои труды у авторов мало — подписка может отпугнуть, а Google объявила о закрытии платных расширений в магазине Chrome.

Поэтому порой выходом для автора становится либо полная продажа расширения, либо скрытая интеграция чужого кода. «Это предложение часто слишком привлекательно, чтобы от него отказываться», — пишет Кребс.

Например, так поступил разработчик расширения для тестирования сайтов ModHeader Хао Нгуен, сервисом которого пользуется более 400 тысяч человек.

Когда Нгуен понял, что тратит всё больше денег и времени на поддержку ModHeader, он попытался включить рекламу в расширении, но после большого протеста пользователей ему пришлось отказаться от этого. Более того, реклама не приносила ему много денег.

«Я потратит как минимум 10 лет на создание этой штуки, и мне не удалось её монетизировать», — признаётся Нгуен. Частично он винит Google за закрытие платных расширений — по его словам, это лишь усугубило проблему разочарованных разработчиков.

Это сложный рынок для авторов расширений, которые хотели бы монетизировать своё творение и получать за него плату. Множество мелких разработчиков не смогли ничего поделать с этим. И поэтому некоторые из них пойдут на теневую интеграцию чужого кода или продадут расширение за фиксированную цену и покончат с ним.

Хао Нгуен

Сам Нгуен поначалу отказался от нескольких предложений компаний, предлагающих заплатить за интеграцию их кода в расширение, так как они получили бы полный контроль над работой браузера и устройствами пользователей в любое время.

У Infatica код был более простым — они ограничились маршрутизацией запросов без получения доступа к сохраненным паролям пользователей, чтению их cookie или просмотру экрана пользователя. К тому же, сделка принесла бы Нгуену не менее $1500 в месяц.

Он согласился, но за несколько дней получил множество негативных отзывов пользователей и удалил код Infatica. К тому же расширение стали использовать для просмотра «не очень хороших мест, таких как порносайты», отмечает автор ModHeader.

Также глава Infatica владеет VPN-сервисом iNinja VPN с аудиторией 400 тысяч пользователей. Он тоже использует те же системы для маршрутизации трафика — расширение для Chrome и одноименный блокировщик рекламы, код которого содержит Infatica.

Работа Infatica похожа на HolaVPN — VPN-сервис с расширением для браузера. В 2015 году исследователи кибербезопасности обнаружили, что установивших расширение Hola использовали для перенаправления трафика других людей.

Маркетинговая команда Infatica как раз сравнивает свою бизнес-модель с моделью HolaVPN, замечает Кребс.

Скриншот из коммерческого предложения Infatica, отправленного разработчику расширения SponsorBlock
Скриншот из коммерческого предложения Infatica, отправленного разработчику расширения SponsorBlock

Насколько большой рынок расширений

Второй проект Нгуена — сервис статистики Chrome-stats.com, на котором собрана информация о более 150 тысяч расширений, расширенная версия сервиса предлагается по подписке.

По данным Chrome-stats более 100 тысяч расширений заброшены авторами или не обновлялись более двух лет. Это существенный пласт разработчиков, которые вполне могут согласиться на продажу своего проекта и его пользовательской базы, заключает Кребс.

Авторы расширений для браузеров встраивают чужой код, чтобы заработать — их пользователи становятся частью прокси-сетей

Сколько расширений используют код Infatica неизвестно — Кребс нашёл как минимум три десятка, у нескольких из них было более 100 тысяч пользователей. Одно из них — Video Downloader Plus, аудитория которого составляла в пике 1,4 млн активных пользователей.

Как не попасть на вредоносное расширение

Права доступа каждого расширения прописаны в его «манифесте» — описание доступно во время его установки. По данным Chrome-stats, около трети всех расширений Chrome не требуют особых разрешений, но остальные требуют полного доверия со стороны пользователя.

Например, около 30% расширений могут просматривать данные пользователя на всех или определенных сайтах, а также индексировать открытые вкладки и совершенные действия на веб-страницах. 68 тысяч расширений могут выполнять произвольный код на странице, меняя функциональность или внешний вид сайта.

Авторы расширений для браузеров встраивают чужой код, чтобы заработать — их пользователи становятся частью прокси-сетей

При установке расширений нужно быть предельно осторожным и выбирать те, что активно поддерживаются авторами и отвечают на вопросы пользователей, считает Кребс.

Если расширение просит обновиться и внезапно запрашивает больше разрешений, чем раньше — это повод задуматься, что с ним что-то не так. Если у этого расширения был полный доступ, Кребс рекомендует полностью удалить его.

Также нельзя загружать и устанавливать расширение, потому что на сайте написано, что оно нужно для просмотра какого-то контента — это практически всегда означает большой риск, замечает специалист по кибербезопасности.

И всегда стоит придерживаться первого правила сетевой безопасности: «Если вы это не искали, то и не устанавливайте».

3232
19 комментариев

Мне иногда кажется, что реализация "расширений" это какой-то сюр, всеобщий пранк или глобальный заговор создателей браузеров. 

Всем известен факт, что расширения имеют огромную популярность и невероятно полезны (Добавляют полезный разным пользователям функционал, на который нет времени \ мотивации у официальных разработчиков) 

Всем известен факт, что их текущая реализация сломана и АБСОЛЮТНО небезопасна. (Большинству расширений почему-то требуется иметь доступ, чуть ли не вообще ко всему, что есть у пользователя, как в браузере, так и вне его - при том, что само расширение может представлять из себя "приколюху для дорисовывания смайлика к картинкам с котятами". И это не косяк приложений. Почему приложение для скачивания видео не может иметь доступ ТОЛЬКО к видео? Почему оно обязательно должно иметь доступ ко всем данным с сайта?  

Всем известно, что их монетизация сделана ужасно. И как следствие БУДЕТ много случаев всяких мошенничеств (т.к большинство хочет вознаграждение на свой труд)

Всем известно, что разработчики расширений могут менять исходный код уже после прохождения проверки в магазине приложений.

Хоть кто-нибудь с этим что-то делает или пытается что-либо предпринять? Нет. Есть этому какое-то логическое объяснение?

2021 год на дворе и уже невозможно смотреть на очередные новости с этой гигантской дырищей в безопасности браузеров под названием "Расширения", которые ещё и подаются от имени самих же разработчиков браузера (Chrome Extensions Store & т.д)

Даже в конце статьи этот мастер по кибербезопасности предлагает "читать требования расширений" и "удалять те, что имеют доступ ко всем данным", при том, что сам же выше пишет, что 70% расширений в магазине имеют доступ ко всем данным.

Вместо того, чтобы написать обращение к разрабам Google Chrome Store: А вы не а*уели? Сделайте БЕЗОПАСНУЮ реализацию - мужик предлагает лучше просто их не устанавливать))

22

Но.. код расширения открыт (!). Можно спокойнл посмотреть все что оно делает. Это сильно отличает расширения от тех же exe или apk.. 
Автор не привел ни одного вредного примера на сейчас..

1

Давно уже об этом всём думал. В прнципе, согласен, НО, если немного подумать о ситуации вцелом, то любое приложение, которое вы ставите локально, особенно не от больших компаний, может делать в текущем локальном окружении довольно многое и мало кто полезет проверять "что же оно там на самом деле делает", даже если это опенсорс.

Как разработчик, не знаю, как гугл может сделать безопасную реализацию расширений, не ограничив существенно при этом их возможности взаимодействия со страницей/браузером, в результате существенно уменьшив их полезность. В итоге, всё равно всё сводится к совести разработчика, а обычный пользователь всё равно нажмёт "Разрешить" на все предупреждения безопасности при установке приглянувшегося ему расширения (и да, некоторые расширения имеют избыточный список разрешений, в хроме уже можно принудительно ограничивать этот список некоторыми способами).

"Большинству расширений почему-то требуется иметь доступ, чуть ли не вообще ко всему, что есть у пользователя, как в браузере, так и вне его - при том, что само расширение может представлять из себя "приколюху для дорисовывания смайлика к картинкам с котятами"

Ну это неправда, это некомпетентные или нечистые на руку разработчики. Вот пример, внутреннее расширение для парсинга данных авторов, из требований только реально то, что нужно и только на тех сайтах, на которых нужно:

2

Если бы там было написано, что оно имеет доступ только к парсингу на этих сайтах, то ок, но оно имеет доступ и к данным вашего профиля на этих сайтах, хотя это уже не входит в назначение деятельности самого расширения. К тому же оно имеет доступ к истории вашего браузера, что опять же не совпадает с назначением описанного вами расширения

"Read and change your data on sites" Что это значит? Оно может видеть общую вашу информацию, которую видят все? Или может смотреть ваши логины и пароли? Неплохо бы уточнять это в разделе доступов, вам не кажется?

1

Ой, а что это за экстеншн такой который требует доступ к artstation?

Hola / Luminati вообще говоря была первой, кто начал такую интересную модель мутить. И по сей день остаются крупнейшими. Жаль что о них было вскользь в статье, посоны вообще ребята (кстати корни кажется откуда-то с постсовка, судя по манере ведения бизнеса и саппорту)

1