• Why We Need a Google Condom for Chrome Extensions

    , ,

    Media_httpiconnectdot_jczsn
    via iconnectdots.com

    Vandaag werd mijn Google account ge-hacked. Een spammer maakte gebruik van mijn meer dan 2000 adressen bevattende adresboek om een flink aantal mails over viagra e.d. rond te sturen. In dit adresboek bevindt zich ook een mailadres voor mijn Posterous blog waar auto-posting aanstaat. Gevolg, een waslijst aan out of office replies in mijn mail (NL is duidelijk op vakantie), een flink aantal waarschuwingen van kennissen via email, maar ook Twitter en Facebook want ook mijn blog stond vol met spam die vrolijk werd rondgestuurd. 

    Waar zit het lek?

    Hilarisch als je het zo terugleest, en er zijn natuurlijk ergere rampen, maar wat heeft zo'n hacker nog meer gekaapt, en vooral hoe?
    Eerste stap is in dat geval direct maatregelen treffen om toekomstig misbruik tegen te gaan zoals het wijzigen van het account wachtwoord en het aanzetten van 2step verification (wel een mooie oplossing van Google:http://www.google.com/support/accounts/bin/static.py?page=guide.cs&guide=1056283&topic=1056284 )
    Vervolgens ben ik een zoektocht gestart om te achterhalen waar het lek kan zitten. Het was immers wel opvallend dat ik al jaren gebruik maak van meerdere prive en business accounts bij Google en nog nooit problemen heb ondervonden totdat ik enkele weken geleden actief ben geworden op Google plus.

    Is Google Plus het probleem?

    Het gaat me te ver om Google zelf aan te wijzen als schuldige, maar feit is wel dat de populariteit van het nieuwe netwerk ook minder goed bedoelende lieden aantrekt. Wat wel opvallend was in het analyseren van mijn recente activiteiten was het feit dat ik de laatste weken erg veel met de Chrome browser in de weer was en dan vooral vanwege het toevoegen van allerlei extensies om Google+ te verbeteren. Als Mac gebruiker was ik voorheen eigenlijk voornamelijk Safari gebruiker. Chrome bevalt me erg goed, maar ik heb me nooit in de achterliggende techniek verdiept.

    Het beleid van de Chrome Store

    Een flinke zoektocht leverde vandaag in ieder geval de kennis op dat de architectuur van Chrome wel grondig en slim is ontworpen zodat ook externe ontwikkelaars hier eenvoudig voor kunnen ontwikkelen, maar dat Google lang niet zo grondig is als het gaat om het toelaten van externe extensies. Veel van deze extensies hebben de mogelijkheid om diep in je gegevens te haken. Dat moet voor sommige functionaliteit natuurlijk ook, maar stuitend is wel dat iedereen zonder screening blijkbaar een app of extensie kan indienen. M.a.w. Google kan z'n gebruikers niet garanderen dat die toepassingen veilig zijn! Dit in schril contrast met het beleid bij Apple dat van z'n ontwikkelaars eist dat ze (betalend en geregistreerd) lid zijn van het Developer Network en ook nog eens alle apps en extensies grondig test alvorens ze die op hun klanten loslaten.

    De moraal van het verhaal is dus, dat je de content in al die App, Web of andere Stores niet klakkeloos moet vertrouwen omdat ze door een groot bedrijf worden gedistribueerd. Zelfs bij strenge bedrijven als Apple schiet er nog wel eens iets tussendoor, maar Google zou hier wel wat strenger mogen zijn...