Probando una extensión de navegador no confiable de forma segura en macOS

3

He recibido un archivo .zip que contiene una extensión del navegador para Google Chrome.

¿Cómo puedo probar esto con seguridad? Opciones actuales que considero:

1) Utilizando una máquina virtual. Instalar VirtualBox en mis macos, y luego ejecutarlo desde allí. Desventajas es: lento y amp; torpe

2) Creando un usuario separado en mi sistema y probando allí. Desventajas: tienes que cambiar de usuario cuando quieres probar algo.

¿Cómo abordas esto?

    
pregunta FooBar 22.02.2018 - 15:04
fuente

2 respuestas

1

Si desea ejecutar un software que no sea de confianza, debe ejecutarse en un entorno aislado tanto como sea posible. Como mínimo, esto significa que tiene que usar una Máquina Virtual, pero también que no debe conectarla a una interfaz de red, y no compartir recursos si no es necesario (por ejemplo, portapapeles, almacenamiento). Si necesita conectividad de red, asegúrese de que la red esté protegida contra servicios confidenciales accesibles en su computadora y en la red local.

Especialmente en Chrome, las extensiones del navegador están supuestamente bien aisladas del sistema. P.ej. Las extensiones instaladas desde Chrome Web Store no tienen acceso a los archivos locales de forma predeterminada. Sin embargo, hay excepciones: las extensiones cargadas desde "Cargar extensión desempaquetada" en chrome://extensions' obtienen acceso a archivos locales de forma predeterminada.
Y a veces hay errores en el navegador que permiten que las extensiones hagan más de lo que deberían (por eso siempre debe probar en la versión más reciente (estable) de un navegador: se encuentran y solucionan nuevos errores de seguridad en cada versión).

Una máquina virtual bien configurada generalmente proporciona suficiente protección contra extensiones de navegador maliciosas. Pero debes tener cuidado al derivar conclusiones:

  • Está bien usar una máquina virtual para probar la funcionalidad (por ejemplo, si desea probar un bloqueador de anuncios, puede visitar un sitio web y ver si se han ido).
  • La ausencia de comportamiento malicioso no se puede usar para probar que la extensión no es maliciosa. Las extensiones podrían ocultar o posponer la ejecución de código malicioso. He visto bastante bifurcaciones de "bloqueadores de anuncios" que entierran código malicioso también entre el código aparentemente legítimo.

Si necesita un alto nivel de certeza de lo que hace una extensión, debe leer su código fuente, por ejemplo. usando el Visor de fuente de extensión (divulgación: he creado este software).

    
respondido por el Rob W 24.02.2018 - 12:04
fuente
1

Recomiendo usar una máquina virtual, ya que está diseñado para estar aislada de manera segura del resto de su sistema. Esto es especialmente importante ahora que las vulnerabilidades ahora conocidas públicamente como Specter / Meltdown / to-be-be-discover-vuln permiten que cosas simples como JavaScript lean la memoria a la que no deberían tener acceso.

Aunque es muy lento, descubrí que el inconveniente me recuerda que estoy en una máquina virtual y que es el hogar de un código no confiable, no de datos personales.

Con respecto al uso de varias cuentas del sistema: simplemente coloca el código no confiable más cerca de su sistema de lo que necesita ser. Además, puedo decirle por experiencia personal (probé # 2 hace unos años, configurando 6 cuentas en total) que lo volverá loco

    
respondido por el user196499 23.02.2018 - 20:59
fuente

Lea otras preguntas en las etiquetas