Come installare estensioni per Chrome in modo sicuro

Gran parte della potenza e della flessibilità di Chrome deriva dalle sue molteplici estensioni. Il problema è che queste estensioni possono anche essere malevoli e contenere malware o virus oppure possono registrare tutte le tue attività sui siti web che visiti.

In questa guida ti indico come assicurarsi che un’estensione sia sicura prima di installarla.

Perché le estensioni di Chrome possono essere pericolose?

Quando installi un’estensione di Chrome, stai essenzialmente entrando in una relazione basata sulla fiducia con lo sviluppatore di tale estensione.

Stai dando la possibilità all’estensione di entrare in simbiosi con il tuo browser, potenzialmente osservando tutto ciò che fai.  Non dico che tutte le estensioni lo facciano, ma occorre capire come fidarsi di queste estensioni.

Esiste un sistema di permessi per le estensioni di chrome, questo sistema aiuta a prevenire le estensioni “curiose”. Ma se non stai attento ai permessi che stai dando all’estensione questa potrà divenire potenzialmente dannosa.

Molte volte succede che lo sviluppatore vende la propria estensioni in modo legittimo a compagnie terze, le quali possono introdurre annunci pubblicitari oppure modificare l’estensione per fare in modo di leggere dati sensibili o più dati di quelli necessari al funzionamento.

Cosa controllare prima di installare un’estensione di Chrome?

Chi è lo sviluppatore?

Una delle prima cose da controllare prima di installare una nuova estensione è lo sviluppatore.

Ad esempio se stai installando un’estensione sviluppata da un singolo svilupparore, quindo non una società, puoi controllare prima di tutto se questo sviluppatore ha un sito web e controllare che tipo di lavoro fa. Queste informazione e facilmente reperibile dalla schermata principale di insallazione:

chrome-installazione-estensione
chrome-installazione-estensione

Sotto al titolo puoi vedere la scritta offerto da : ColorChanger

Quello è il nome dell’autore (dovrebbe esserlo), quando è inserito il sito dello sviluppatore il nome è di colore blu e diventa cliccabile, nell’immagine si vede chiaramente che è di colore grigio e non cliccabile.

Altre informazioni sullo sviluppatore sono disponibile in basso a destra dove puoi vedere:

  • date dell’ultimo aggiornamento: importante per capire se un’estensione è vecchia e non più mantenuta, oppure aggiornata.
  • dimensione
  • lingua
  • nome dello sviluppatore: Reinmannplath 27
  • e altre info pressoché inutili.

Un’altra schermata da controllare è la tab Assistenza, solitamente viene inserito un link ad un forum di supporto, una pagina facebook dove chiedere assistenza, oppure semplicemente un sito. In questo caso specifico se andiamo nella tab assistenza non esiste nessun link e nessun riferimento ad un sito di supporto.

A questo punto posso escludere questa estensione da quelle affidabili, ciò non vuol dire che è sicuramente dannosa. Ma non posso nemmeno fidarmi di un codice scritto da uno sconosciuto totale come in questo caso. Non ho un vero nome, non ho un sito di riferimento e infine non ho nemmeno un straccio di supporto.

A questo punto mi posso fermare e valutare altre estensioni, oppure, se questa estensione è proprio necessaria e non posso farne a meno, l’ultimo controllo che posso fare e ricorrere alla buona e vecchia ricerca sul web.

Prendo il nome dello sviluppatore, quello sotto al nome principale e quello nella barra a destra, e faccio delle ricerche su uno dei tanti motori di ricerca. Fino a che non trovo dei riscontri che legano senza ombra di dubbio quell’estensione ad una persona vera non posso essere sicuro che sia un’estensione affidabile.

Ma non sempre i risultati danno i frutti sperati. Se dopo due o tre ricerche non trovi nessun risultato apprezzabile lascia perdere e procedi nella ricerca di un’estensione alternativa.

Leggi la descrizione

Sul lato destro puoi trovare anche la descrizione, a volte in questo testo puoi trovare termino come data tracking o data sharing o altri termini che possono suscitare la tua attenzione. Bisogna anche precisare che se un’estensione è malevola nessuno lo scriverà in chiaro ma è sempre meglio leggere per bene tutto.

Controlla il popup durante l’installazione

Se hai deciso di continuare ugualmente all’installazione, dopo questo controllo sono sicuro che ti fermerai. Quando clicchi su aggiungi ti viene mostrato un popup di chrome come quello che vedi sotto. Ti viene detto a quali dati può accedere l’estensione. In questo caso può accedere a TUTTI i dati dei siti web visitati.

Se consideri che questa estensione permette di cambiare i colori di facebook, come mai vorrebbe avere l’accesso a tutti i miei dati di navigazione? Lascio a te la risposta.  Se prima avevo il dubbio della sua affidabilità ora ne sono quasi certo. Clicca su Annulla e buona notte

chrome-estensione-malevola
chrome-estensione-malevola

Leggi le recensioni nelle tab review

Un’altro controllo da eseguire e la lettura delle recensioni lasciate dagli utenti, se vedi molti commenti negativi o di malfunzionamenti può voler dire due cose:

  1. l’estensione è fatta male e non funziona come dovrebbe,
  2. l’estensione promette di fare cose che in verità non fa
  3. l’estensione è stata sviluppata da poco e deve essere sistemata
  4. l’estensione è stata abbandonata e quindi non viene più aggiornata (potenziali problemi di sicurezza anche se non necessariamente malevola)

Estensione affidabile su Chorme

Abbiamo visto un’estensione dubbia, ora vediamo l’anatomia di una sicura e affidabile.

Ho preso come esempio Ink for Google 

estensione-affidabile-chrome ink for google
estensione-affidabile-chrome

 

estensione-chrome-affidabile-2
parte mancante dell’immagine sopra

Come puoi notare sotto al titolo è c’è il nome dell’autore con il link al sito web.

Nella parte destra è chiaramente visibile Sito Web con l’icona, nella parte sotto (immagine qui a fianco) è visibile l’email dello sviluppatore con un link per la norme della privacy.

Se vai nella tab assistenza puoi notare un link che rimanda al sito dello sviluppatore per ottenere supporto.

 

 

Infine al momento dell’installazione viene mostrato un popup con le indicazioni di quali permessi ha questa app e inoltre una cosa che nella precedente estensione non era presente un link su Mostra Dettagli, in cui è possibile vedere a quali siti web può accedere.

chrome-installazione-estensione-affidabile
chrome-installazione-estensione-affidabile

 

A questo punto posso essere decisamente sicure della sicurezza si questa estensione e procedere con l’installazione senza timore che i miei dati vengano usati in modo differente rispetto a quando indicato nelle norme delle privacy.

Questa è un’enstensione fatta a regola d’arte.

 

Ultimo controllo: Leggi il codice sorgente dell’estensione

Anche se è una cosa molto tecnica è bene sapere che chiunque può leggere e controllare il codice sorgente dell’estensione, in questo modo possiamo controllare esattamente quello che può e non può fare. Naturalmente non è una cosa che è possibile fare a tutti, servono conoscenze approfondite di programmazione di estensioni.

 

In conclusione posso dirti che la migliore arma contro le estensioni dannose o malevoli sei tu e il tuo buon senso, leggi sempre tutto quello che ti viene proposto di accettare (popup d’installazione) , non lasciare al caso nessun aspetto.

Se non ti senti abbastanza sicuro fai sempre una ricerca sul web per scoprire se qualche utente ha notato problemi particolari.

Spero di averti dato comunque degli strumenti effettivi per riconoscere le estensioni affidabili da quelle di dubbia affidabilità.