Wenn eine Chrome-Erweiterung installiert, aber deaktiviert ist, kann sie mich trotzdem ausspionieren?

8552
Michael d

Angenommen, eine Chrome-Erweiterung ist deaktiviert und verfügt über die Berechtigungen: "Alle Daten auf den von Ihnen besuchten Websites lesen und ändern" und "Browserverlauf lesen" oder andere ähnliche Tracking-Berechtigungen.

Können diese Chrome-Erweiterungen weiterhin auf diese Berechtigungen zugreifen oder Sie auf andere Weise ausspionieren, selbst wenn sie deaktiviert sind?

Nehmen wir an, Sie sollten diese Erweiterungen deaktiviert lassen, sie jedoch für 5 Sekunden oder bis zu 10 Minuten einschalten. Ist es möglich, dass Sie Ihren gesamten Browserverlauf in dieser kurzen Zeitspanne an die Entwickler hochladen können, wenn er "Ihren Browserverlauf lesen" kann?

Diese Frage gilt auch für Browser wie Firefox.

49
Die Frage ist, ob eine Erweiterung einen Browser so modifizieren kann, dass entweder der Ausschaltknopf im Grunde nichts bewirkt (nur "ausschaltet") oder sich zu einem späteren Zeitpunkt wieder einschalten kann. Wenn die Antwort entweder Ja ist, dann ist auch die Antwort auf das Obige Ja. (Ich überlasse, ob es denen möglich ist, die mehr wissen als ich.) SSight3 vor 5 Jahren 4
@ SSight3 Erweiterungen dürfen auf der Erweiterungsseite von chrome: // meines Wissens nicht ausgeführt werden. Es ist daher nicht möglich, dass eine Erweiterung den Status des aktivierten / deaktivierten Toggles fälscht. Josh vor 5 Jahren 6
Die tägliche Nutzung von Google - Facebook, Twitter oder was auch immer - bietet weitaus mehr Möglichkeiten zur Sammlung von Informationen als einige der aufstrebenden Chrome-Erweiterungen. Nicht dass der Autor hinter dieser Erweiterung keine ehrgeizigen Ambitionen hätte, aber… can-ned_food vor 5 Jahren 2
Markieren Sie eine Frage nicht als beantwortet und einen Tag später als unbeantwortet. Bearbeiten Sie sie, um eine neue Frage zu stellen. Wenn Sie Ihre Meinung zu der Frage ändern, sollten Sie wirklich eine neue separate Frage stellen, sobald Sie eine Antwort akzeptiert haben. LPChip vor 5 Jahren 4
@ can-ned_food Bemerkenswert, wenn die Angst DataMining ist, MITM kann von überall aus eingesetzt werden (HTTP-Sniffer, zwielichtige CA, schlechtes DNS, bösartiger WLAN-Hotspot, Hintertür-Router usw.) und wenn die Besorgnis einer Person über einen Browser ausgelöst wird Ist ein Unternehmen, das für Datamining berüchtigt ist, die Frage "Sind meine Erweiterungen undicht?" Ich vermute stark, dass sie möglicherweise viel größere Probleme übersehen. SSight3 vor 5 Jahren 2
@Michael d, bitte akzeptiere meine Antwort. LPChip vor 5 Jahren 0

1 Antwort auf die Frage

58
LPChip

Wenn eine Erweiterung deaktiviert ist, wird sie nicht in den Speicher geladen und kann daher nichts tun.

Wenn Sie eine Erweiterung aktivieren, hat sie Zugriff auf Ihren gesamten Browserverlauf. Wenn eine Erweiterung dies wünscht, kann sie Ihren gesamten Verlauf an den Server senden.

Es hängt von der Erweiterung ab, ob dies tatsächlich der Fall ist. Spyware-Typ-Erweiterungen werden verwendet, Erweiterungen, die Ihnen helfen sollen, senden normalerweise nur eine Website ein, auf der Sie gerade surfen. Ob eine Erweiterung dies tut oder nicht, ist reine Spekulation.

Wenn Sie sicher sein möchten und nicht zulassen möchten, dass eine Erweiterung Ihre Daten an den Server überträgt, schalten Sie sie niemals ein.

Vielleicht scrollen Sie vielleicht auch durch die Programmierung und Strg-F. Sie werden jetzt ziemlich lesbar Varad Mahashabde vor 5 Jahren 1
@ Varad Du meinst den Quellcode gelesen? wjandrea vor 5 Jahren 0
@wjandrea Es ist möglich, den Quellcode von Chrome-Erweiterungen (`.crx`-Paketen) zu lesen. rahuldottech vor 5 Jahren 2
@rahul Wie würdest du das machen? Und nach was würdest du suchen? wjandrea vor 5 Jahren 0
@wjandrea [So geht's] (https://www.howtogeek.com/198964/). Wenn Sie vermuten, dass eine Erweiterung schädlichen Code ausführt, können Sie den Quellcode überprüfen, um Ihren Verdacht zu bestätigen. rahuldottech vor 5 Jahren 0
@wjandrea Was Chrome tut, ist das Herunterladen kleiner tar-ball-ähnlicher Pakete, die dann entpackt und entweder mit dem Browser erstellt und geladen werden oder im Installationsverzeichnis wie CMD-Skripts gespeichert werden (nicht sicher, welche). Auf jeden Fall wird die Quelle heruntergeladen, die in% localappdata% oder / var gesucht oder erneut heruntergeladen werden kann. Varad Mahashabde vor 5 Jahren 1
Sie können alle Dateien auf einmal in einem Editor öffnen und dann nach dem Befehl suchen, mit dem die Funktion aufgerufen wird, um die betreffende Berechtigung zu verwenden. Die Leute benennen die Dinge auch gerne und hinterlassen Kommentare, um die Wartung zu erleichtern. Das ist die Hälfte Ihrer Dokumentation Varad Mahashabde vor 5 Jahren 1
@EricDuminil Ja, weil 1) Google keine finanziellen Gründe hat, Ihre Daten zu schützen, und 2) Firefox das Chrome-Erweiterungssystem nicht vollständig kopiert hat, weil es sicherer war ... David Mulder vor 5 Jahren 0
@DavidMulder Um pedantisch zu sein, hat Firefox das Chrome-Erweiterungssystem hauptsächlich kopiert, da es * einfacher * war. Es wurde ein großer Teil der Codebasis neu geschrieben, und die vorhandenen Erweiterungs-APIs waren eng mit den internen Komponenten verbunden, die so hart arbeiten konnten. Das Erzwingen der Neuformierung jeder Erweiterung machte ihr Leben einfacher, und die Hoffnung ist, dass dies nicht erneut erforderlich ist, da die neue API restriktiver ist und mehr von der internen Implementierung getrennt ist. Das Berechtigungsmodell ist ein netter Bonus, aber da die meisten Erweiterungen Zugriff auf das DOM jeder von Ihnen betrachteten Seite benötigen, kann dies nicht viel verhindern. IMSoP vor 5 Jahren 7
@DavidMulder: Sie gehen davon aus, dass es in Ordnung ist, dass Google alle Ihre Daten an erster Stelle hat. Eric Duminil vor 5 Jahren 2
@IMSoP Die Chrome-Erweiterungs-API ermöglichte eine weitaus detailliertere Berechtigungskontrolle. Dies war ein Sicherheitsbedenken, das sehr geschätzt wurde. Zusätzlich waren die Erweiterungen natürlich sandkastenartig, was ein weiterer Sicherheitsvorteil war. Die Erweiterungs-API wurde rundum sicherer und moderner gestaltet, was wünschenswert war. David Mulder vor 5 Jahren 0
@EricDuminil Außer bei der Verwendung von Chrome werden Ihre Daten keinesfalls an Google weitergegeben. Durch die Anmeldung bei einem Google-Konto und / oder die Verwendung von Google-DNS werden zumindest einige Ihrer Daten an Google weitergegeben. Dies ist jedoch völlig unabhängig von der Verwendung von Chrome. David Mulder vor 5 Jahren 0
@DavidMulder Wir wissen nicht, was Chrome tut, weil wir den Code nicht sehen können. Zu sagen, dass Chrome "Ihre Daten keinesfalls an Google weitergibt", ist offensichtlich falsch. Beim Eingeben einer URL in die Adressleiste habe ich den Verkehr zu und von Google-Servern gemessen, noch bevor ich die Eingabetaste drückte! wizzwizz4 vor 5 Jahren 4
@ wizzwizz4 SRWare Iron (eine auf Datenschutz fokussierte Version von Chrome) enthält einige Details ... [beunruhigende Funktionen] (https://www.srware.net/de/software_srware_iron_chrome_vs_iron.php) von Chrome. SSight3 vor 5 Jahren 2
@ SSight3 Chrome verfügt über Einstellungen, die Sie ein- und ausschalten können. SRWare Iron hat einige dieser Einstellungen nicht, daher bleiben Sie bei den Standardeinstellungen. Und mit Sicherheitsupdates bleibt es hinterher; Weitere Informationen finden Sie unter [Warum sollten Sie (die meisten) alternativen Browser nicht auf Google Chrome basierend verwenden] (https://www.howtogeek.com/108384/6-alternative-browsers-based-on-google-chrome/). Mr Lister vor 5 Jahren 0
@ wizzwizz4 Nur wenn Sie einen Vorhersagedienst eingerichtet haben und dies ein einzelner Schalter in den Einstellungen ist. Hier finden Sie weitere Informationen zum Beispiel: https://lifehacker.com/5763452/what-data-does-chrome-send-to-google-about-me David Mulder vor 5 Jahren 0
@DavidMulder Das ist eine Einstellung. Wie funktioniert das OK-System von Google? Was tut es? wizzwizz4 vor 5 Jahren 0

Verwandte Probleme