ok google

Google, Chromium, HotWord e il nostro browser Avira

Per effettuare la ricerca vocale occorre che il microfono sia acceso, mentre il browser ascolta e attende la parola magica “Ok Google”. Solitamente ciò va bene per la maggior parte delle persone, ma non per chi è attento alle questioni di privacy e sicurezza. Per loro (e per noi) è assolutamente inaccettabile. Google ha aggiunto la funzione tramite l’estensione “Hotword” a Google Chrome e al suo equivalente Open Source Chromium.

Dopo aver assistito al primo impatto che la funzione ha avuto tra gli esperti di sicurezza, Google ha aggiunto un parametro di compilazione per non utilizzarla su Chrome e successivamente anche l’impostazione predefinita “disattivata”.

Per impedire che cose simili accadano al nostro browser, abbiamo creato un piccolo script che verifica le estensioni installate e le confronta con l’elenco delle “possibilità” e “necessità”. In questo modo possiamo assicurarci che il nostro browser (basato sul codice sorgente Chromium) non installi estensioni indesiderate e che siano presenti invece tutte le estensioni desiderate.

Se vuoi controllare tu stesso, puoi trovare lo script qui:https://github.com/Avira/chrome_extension_checker

Durante l’esecuzione dello script troverai alcune estensioni che non sono elencate in Chrome/Chromium o nel nostro browser. Ciò è fatto di proposito. Perché queste estensioni sono direttamente collegate e forniscono funzionalità che ci si potrebbe aspettare di avere nel codice del browser. È meglio averle implementate nelle estensioni. Perché? Hai fatto bene a chiederlo:

Tra un’estensione e il browser ci sono confini di sicurezza. Limitano i diritti dell’estensione (vedi il file json manifesto dell’estensione per i diritti richiesti). In questo modo, se l’estensione viene attaccata, il danno che può essere fatto è limitato. Se invece le funzionalità fossero state implementate direttamente nel codice sorgente del browser, tali utili limiti non esisterebbero. Quindi, come puoi vedere, si tratta di una buona prassi tecnica.

Ora, armato dello script, nessuno può inserire segretamente estensioni nel tuo browser senza che tu te ne accorga.

Per divertimento:

  • Confronta le estensioni individuate dal nostro strumento con quelle che puoi vedere nel menu Estensioni e cliccando su questo url chrome://inspect/#extensions
    (Sì, è buona norma anche “nascondere” le estensioni all’utente. I tecnici non vogliono confondere gli utenti con estensioni che non hanno installato)
  • Confronta tutti i browser basati sul codice sorgente di Chrome (Chromium, il nostro browser, Chrome,…) per verificare ciò che installano.

Sì, abbiamo un account Git per pubblicare il nostro codice Open Source

 

Questo articolo è disponibile anche in: IngleseFrancese

I use science to protect people. My name is Thorsten Sick and I do research projects at Avira. My last project was the ITES project where I experimented with Sandboxes, Sensors and Virtual Machines. Currently I am one of the developers of the new Avira Browser