Авторы расширений для браузеров встраивают чужой код, чтобы заработать — их пользователи становятся частью прокси-сетей

Почему разработчикам сложно монетизировать свои проекты и как избежать установки вредоносных расширений.

Специалист по кибербезопасности Брайан Кребс разобрал рынок расширений для браузера и способов их монетизации. Он пришёл к выводу, что установка даже популярных расширений с сотнями тысяч пользователей может быть опасной из-за их бизнес-модели.

В своей публикации Кребс рассказывает о сингапурской компании Infatica с русским основателем Владимиром Фоменко. Infatica предоставляет услуги веб-прокси необычным способом: компания договаривается с разработчиками расширений, чтобы те незаметно интегрировали код прокси-сервиса Infatica в свои проекты.

В результате через браузер пользователя расширения идёт маршрутизация трафика клиентов Infatica, взамен разработчик получает фиксированную оплату от $15 до $45 за каждую тысячу активных пользователей.

Infatica — лишь одна в растущей индустрии теневых фирм, которые пытаются сотрудничать с разработчиками популярных расширений и использовать их разработки в своих целях. Разработчики же вынуждены согласиться, чтобы хоть как-то окупить затраты на поддержку расширения, отмечает Кребс.

Некоторые расширения для браузеров Apple, Google, Microsoft и Mozilla собирают сотни тысяч, а то и миллионы активных пользователей. По мере роста аудитории автор расширения может не справляться с поддержкой проекта — его обновлениями или ответами на запросы пользователей.

При этом получить финансовую компенсацию за свои труды у авторов мало — подписка может отпугнуть, а Google объявила о закрытии платных расширений в магазине Chrome.

Поэтому порой выходом для автора становится либо полная продажа расширения, либо скрытая интеграция чужого кода. «Это предложение часто слишком привлекательно, чтобы от него отказываться», — пишет Кребс.

Например, так поступил разработчик расширения для тестирования сайтов ModHeader Хао Нгуен, сервисом которого пользуется более 400 тысяч человек.

Когда Нгуен понял, что тратит всё больше денег и времени на поддержку ModHeader, он попытался включить рекламу в расширении, но после большого протеста пользователей ему пришлось отказаться от этого. Более того, реклама не приносила ему много денег.

«Я потратит как минимум 10 лет на создание этой штуки, и мне не удалось её монетизировать», — признаётся Нгуен. Частично он винит Google за закрытие платных расширений — по его словам, это лишь усугубило проблему разочарованных разработчиков.

Сам Нгуен поначалу отказался от нескольких предложений компаний, предлагающих заплатить за интеграцию их кода в расширение, так как они получили бы полный контроль над работой браузера и устройствами пользователей в любое время.

У Infatica код был более простым — они ограничились маршрутизацией запросов без получения доступа к сохраненным паролям пользователей, чтению их cookie или просмотру экрана пользователя. К тому же, сделка принесла бы Нгуену не менее $1500 в месяц.

Он согласился, но за несколько дней получил множество негативных отзывов пользователей и удалил код Infatica. К тому же расширение стали использовать для просмотра «не очень хороших мест, таких как порносайты», отмечает автор ModHeader.

Также глава Infatica владеет VPN-сервисом iNinja VPN с аудиторией 400 тысяч пользователей. Он тоже использует те же системы для маршрутизации трафика — расширение для Chrome и одноименный блокировщик рекламы, код которого содержит Infatica.

Работа Infatica похожа на HolaVPN — VPN-сервис с расширением для браузера. В 2015 году исследователи кибербезопасности обнаружили, что установивших расширение Hola использовали для перенаправления трафика других людей.

Маркетинговая команда Infatica как раз сравнивает свою бизнес-модель с моделью HolaVPN, замечает Кребс.

Второй проект Нгуена — сервис статистики Chrome-stats.com, на котором собрана информация о более 150 тысяч расширений, расширенная версия сервиса предлагается по подписке.

По данным Chrome-stats более 100 тысяч расширений заброшены авторами или не обновлялись более двух лет. Это существенный пласт разработчиков, которые вполне могут согласиться на продажу своего проекта и его пользовательской базы, заключает Кребс.

Сколько расширений используют код Infatica неизвестно — Кребс нашёл как минимум три десятка, у нескольких из них было более 100 тысяч пользователей. Одно из них — Video Downloader Plus, аудитория которого составляла в пике 1,4 млн активных пользователей.

Права доступа каждого расширения прописаны в его «манифесте» — описание доступно во время его установки. По данным Chrome-stats, около трети всех расширений Chrome не требуют особых разрешений, но остальные требуют полного доверия со стороны пользователя.

Например, около 30% расширений могут просматривать данные пользователя на всех или определенных сайтах, а также индексировать открытые вкладки и совершенные действия на веб-страницах. 68 тысяч расширений могут выполнять произвольный код на странице, меняя функциональность или внешний вид сайта.

При установке расширений нужно быть предельно осторожным и выбирать те, что активно поддерживаются авторами и отвечают на вопросы пользователей, считает Кребс.

Если расширение просит обновиться и внезапно запрашивает больше разрешений, чем раньше — это повод задуматься, что с ним что-то не так. Если у этого расширения был полный доступ, Кребс рекомендует полностью удалить его.

Также нельзя загружать и устанавливать расширение, потому что на сайте написано, что оно нужно для просмотра какого-то контента — это практически всегда означает большой риск, замечает специалист по кибербезопасности.

И всегда стоит придерживаться первого правила сетевой безопасности: «Если вы это не искали, то и не устанавливайте».

#браузеры #расширения