Google-developer publiceert tool die meldt als Chrome-extensie overgenomen wordt

Een softwareontwikkelaar van Google heeft een Chrome-extensie gepubliceerd die gebruikers waarschuwt als geïnstalleerde extensies van eigenaar veranderen. Als er iets verandert aan de eigenaarsinformatie, wordt er een rode waarschuwingsbadge getoond bij het extensie-icoontje.

De Chrome-extensie Under New Management controleert ieder uur of de ontwikkelaarsinformatie van geïnstalleerde extensies in de Chrome Web Store is gewijzigd, schrijft Google-ontwikkelaar Matt Frisbie op de GitHub-pagina van de tool. Als extensies verkocht of gecompromitteerd worden, is de nieuwe eigenaar in vrijwel alle gevallen van plan om bestaande gebruikers op te lichten, claimt Frisbie. Er kunnen dan bijvoorbeeld trackers of schadelijke code aan de extensie toegevoegd worden.

Normaliter krijgen gebruikers het niet te weten als een extensie van eigenaar wisselt, schrijft de ontwikkelaar. Met deze extensie worden gebruikers gewaarschuwd door middel van een rode badge die op het extensie-icoontje verschijnt. Overigens houdt de extensie het niet bij als er wijzigingen worden aangebracht aan de broncode; alleen als er iets verandert aan de informatie op de Chrome Web Store krijgen gebruikers een seintje. Frisbie laat weten dat hij ook werkt aan een soortgelijke extensie voor Firefox. Tegen The Register beweert hij dat het Chrome-ontwikkelteam ook al bezig is deze detectie standaard onderdeel uit te laten maken van de webextensies-api van de browser.

Google stopt vanaf aankomende juni met het ondersteunen van Manifest V2-extensies, omdat die minder privacyvriendelijk en veilig zouden zijn dan extensies op basis van Manifest V3. Bij laatstgenoemde is het bijvoorbeeld niet meer mogelijk om remote code te gebruiken, wat het voor Google gemakkelijker moet maken om de veiligheid van een extensie te toetsen. Frisbie stelt tegen The Register dat Manifest V3 hier over het algemeen succesvol in is, ook wanneer er na een verandering van eigenaar schadelijke code wordt toegevoegd, maar dat dit wel 'de enige verdedigingslinie' is. "Ook houdt Manifest er geen rekening mee als een nieuwe update niet per se kwaadaardig is, maar wel de gegevens van gebruikers kan exporteren of misbruiken, of advertenties kan injecteren", voegt hij toe.

Reacties (16)

Rob Wu 10 maart 2024 19:21

Het artikel hier gebruikt nu de termen "Google-developer" en "softwareontwikkelaar van Google". Waarschijnlijk komt dit misverstand doordat hij een Google Developer Expert (GDE) is. Dat betekent dat hij meer weet dan de gemiddelde persoon over bepaalde onderwerpen, maar niet dat hij werkt voor Google.

De gang van zaken vind ik hier wel opmerkelijk. De Github pagina van het project geeft aan dat hij gebruik maakt van de "ExBoost API server". Een andere repository van dezelfde organisatie beschrijft ExBoost als een netwerk waarbinnen extensies gepromoot kunnen worden. En uit een blog blijkt dat er tegen betaling meer zichtbare promotie mogelijk is. Verder kreeg ik twee weken geleden spam-achtige mails die mij vroegen om ExBoost te integreren in mijn Chrome extensies, waarin zijn naam en GDE status werden benoemd om vertrouwen te wekken.

Het idee achter de extensie is goed, maar ik vraag me wel af wat de motieven zijn om de extensie te publiceren en het zo breed uit te meten in het nieuws.

Hieronder nog een paar correcties voor het Tweakers artikel.

Tegen The Register beweert hij dat het Chrome-ontwikkelteam ook al bezig is deze detectie standaard onderdeel uit te laten maken van de webextensies-api van de browser.

Dit is een onjuiste interpretatie van de laatste paragraaf in The Register. Er werd aangemoedigd om het idee te bespreken in de bredere gemeenschap van browser- en extensie-ontwikkelaars. Dat is niet hetzelfde als dat Chrome-ontwikkelaars het idee aan het implementeren zijn. Hier kan je de publieke discussie vinden die gestart is naar aanleiding van die aanmoediging: https://github.com/w3c/webextensions/issues/558

"Ook houdt Manifest er geen rekening mee als een nieuwe update niet per se kwaadaardig is, maar wel de gegevens van gebruikers kan exporteren of misbruiken, of advertenties kan injecteren", voegt hij toe.

Dit is een verkeerde vertaling van "What's more, this doesn't account for cases where the new update isn't necessarily malicious, (...)". Het woord "this" hier verwijst niet naar "Manifest" (wat geen zinnige betekenis heeft in deze context), maar naar het detectie-systeem die kwaardaardig gedrag zou moeten detecteren.

Lord Anubis @Rob Wu • 10 maart 2024 21:20

Klopt in een video (YT) staat bij de anderen “Google “ en bij hem “Google Developer expert “ .

Hij is
1 zichzelf erg aan het promoten. Zeker als GDE en zijn woorden over hoe goed anderen zijn ideeën vinden geeft een geurtje.
2. Dat hij via exboost een harde link naar de chrome extension gebruikt om een extensie te promoten betekent nog steeds niet dat de extensie te vertrouwen of ineens veilig is.
3 het is een vreemd idee om exboost onderdelen in je extensie te stoppen waardoor dus de gebruiker achter zijn rug om gebruikt wordt om de “clicks” te gebruiken om een extensie te promoten.

Zal misschien legaal zijn maar vind het niets voor de gebruiker.

[Reactie gewijzigd door Lord Anubis op 22 juli 2024 13:32]

Matthijz98 10 maart 2024 12:35

Als iemand die een aantal chrome plugins heeft staan in de store denk ik dat dit een goed ding is.
Er worden echt grote bedragen geboden om extensies met een beetje leuke gebruikers aantallen over te nemen. Om er daarna waarschijnlijk van alles en nog wat mee te doen om meer geld mee te verdienen.

Zeker voor mij als student zijn bedragen van 10.000+ euro best veel en ben zeker wel eens in de verleiding gekomen. (had vooral altijd moeite om te geloven dat je het geld echt zou krijgen maar ken developers die inderdaad een flink bedrag voor hun extensie hebben gekregen).

Ook weet ik hoeveel info een extensie kan verkrijgen uit een browser (ja er zijn regels over maar die gaan vooral over het aangeven welke gegevens je verzameld iets waar de meeste gebruikers niet naar kijken. Dus ik check vaak echt wel even wat voor bedrijf er achter een extensie zit voordat ik het instaleer. Dus zou ook graag willen weten als dat in eens veranderd. Dit voorkomt natuurlijk niet het probleem dat complete bedrijven worden over genomen door een partij die iets minder goed met mijn info om gaat.

[Reactie gewijzigd door Matthijz98 op 22 juli 2024 13:32]

Metal spoon @Matthijz98 • 11 maart 2024 05:41

Ik heb ook een extension in de store staan en krijg ook geregeld van dit soort mailtjes.
Naast mailtjes van mensen die de extension willen kopen krijg ik ook geregeld mails van schimmige "bedrijven" die mij een "premium" search feed aanbieden voor een vast bedrag per maand om zo search data van mijn gebruikers te jatten.

Nu is mijn extension niet razend populair ofzo (~7.5k users) dus ik kan mij niet voorstellen dat het nou zo veel kan opleveren aan winstgevende data.
Maar goed, ik heb principes over dit soort dingen dus die mails gaan rechtstreeks de prullenbak in.
Daarnaast is mijn extension gewoon open source onder de gpl3 licentie dus mocht iemand met kwade bedoelingen hem forken dan moeten eventuele changes open source gemaakt worden.

Nu maar weer eens dat ding gaan onderhouden

lilmonkey

10 maart 2024 12:57

Een echte kwaadwillende verandert bij overname toch gewoon deze informatie niet?

Matthijz98 @lilmonkey • 10 maart 2024 14:08

Een extensie is aan een account. Je kan in het dashboard het overdragen naar een ander account dan wordt deze info automatisch aangepast.

Maar ja als je het hele Google account over neemt werkt deze functie niet.

Heloise 10 maart 2024 12:39

En wie controleert Under New Management

The Underminer @Heloise • 10 maart 2024 15:29

Misschien de extensie zelf wel haha, en wellicht is het open source.

TheVivaldi

Google Chrome

@The Underminer • 10 maart 2024 17:55

Ja, de extensie is open source: https://github.com/classvsoftware/under-new-management

Staat ook in het artikel.

Scripted 10 maart 2024 14:24

Dit zou default in Chrome moeten zitten, daarnaast zouden extensies elke 3? maanden automatisch uitgeschakeld moeten worden.

Er zouden wel wat meer controle en management functies overheen mogen zitten wat mij betreft.

Martinspire 10 maart 2024 19:58

Het zou handig zijn als ie ook met terugwerkende kracht kan kijken om verdachte overnames te melden. Want misschien gebruiken mensen al extensies die over zijn genomen en nu hun gegevens doorverkopen.

Alex3 @Martinspire • 11 maart 2024 15:21

Dat kan alleen als de eigenaarsinformatie al voor de overname is opgeslagen.

OLED 11 maart 2024 00:25

Precies om deze reden sta ik alleen browser extensies uit de App Store toe; de ontwikkelaar moet geverifieerd zijn en er vind tevens controle van de code plaats, daarnaast kan de ontwikkelaar strafrechtelijk vervolgd worden als die zich met shady zaakjes bezig houdt

SRI 10 maart 2024 12:46

Ik zie al een meme verschijnen over deze extensie als ie wordt overgenomen. Dan krijg je die star wars meme ‘you’re we supposed to destroy them, not join them’.

nout77 11 maart 2024 15:17

Goed dat hier een extensie voor is. En inderdaad, dit zou bij Chrome en Firefox zelf een standaard moeten zijn, een melding naar gebruikers.

Vraag me wel af of elk uur controleren of de extensie is overgenomen niet wat overkill is? Doet elke browser (met vele geïnstalleerde extensies) dat voor elke extensie afzonderlijk of wordt dit centraal geregeld? Anders een behoorlijk extra load aan netwerkverkeer voor de Chrome servers, zeker wanneer de extensie populair begint te worden.

Op dit item kan niet meer gereageerd worden.

Google-developer publiceert tool die meldt als Chrome-extensie overgenomen wordt

Lees meer

Reacties (16)

Sorteer op:

Weergave: