Snax.one Browser extension, wie sicher sind Browser-Erweiterungen?

in #deutsch5 years ago

Snax machen grad die Runde auf Steem und ein Snack zwischendurch ist natürlich schön. Außerdem hat man mit Snax auch die Möglichkeit, Beiträge die älter als 7 Tage sind zu belohnen. Damit das Ganze funktioniert, muss man sich allerdings die Browsererweiterung von Snax.one installieren. Das ist natürlich immer so eine Sache, weil derart Add-Ons alles mögliche anstellen können.

image.pngBild: Pixabay

Schauen wir uns die Erweiterung auf crxcavator.io etwas genauer an. Als erstes fällt auf, es gibt keine Contact Info.

image.png

Auch meine Suche nach dem Team bzw. welche Entwickler hinter dem Projekt stehen, blieb leider erfolglos. Whois-Abfragen nach snax.one brachten auch keine Hinweise, die Domain wurde anonym registriert. Auf Github findet man den Quellcode, doch auch hier sind keine Entwickler angegeben. Als Urheber des Whitepapers wird die Snax Foundation genannt, doch auch dazu finde ich keine Infos. Wer hinter snax.one steht, bleibt vorerst ein Rätzel - vielleicht weiß hier jemand mehr?

Berechtigungen

image.png

Die Berechtigung chrome.webRequest API erlaubt es, den Datenverkehr abzufangen und sogar zu ändern und wird als "Critical" eingestuft.

Es geht weiter mit clipboardRead/clipboardWrite - damit hat die Erweiterung Zugriff auf die Zwischenablage. Wozu wird dies benötigt? Damit können sensible Informationen die sich in der Zwischenablage befinden, ausgelesen werden. Das Risiko wird entsprechend als High bzw. Medium eingestuft.

Fazit

Snax ist ein interessantes Projekt und ich gehe schon davon aus, dass sich die Leute bei Steem näher mit snax.one beschäftigt haben, bevor sie es hier integriert haben.

Da es sich für mich jedoch um ein bis jetzt noch unbekanntes Team handelt, bin ich trotzdem vorsichtig gestimmt und empfehle daher, die Erweiterung deaktiviert zu lassen und nur bei Bedarf aktiv zu schalten. Man weiß ja nie!

Sort:  

Super Vielen Dank für die Infos ! Ich bin ja auch hochskeptisch, aber leider zu neugierig und hatte mir somit die Extension auch runtergeladen.
Ich warte ja schon auf die "malicious" extension die dann Zugriff auf meine anderen Extensions hat und meine ganzen wallets (ETH, NFT, usw.) leerräumt :-/
Vielen Dank nochmal für das Sensibilisieren !

Interessant! Wie ist das mit dem Steem Keychain Browser Plugin?

Keychain hat keine kritischen Berechtigungen, auch keine die nicht nachvollziehbar sind. Die Entwickler sind hier auch unterwegs, von daher alles im grünen Bereich - für mein kritisches Adlerauge :-)
https://crxcavator.io/report/lkcjlnjfpbikmcmbachjpdbijejflpcm/1.5.6

Danke für diesen Artikel-ich warte da erstmal lieber ab nun.
BGvB!

Vielen Dank für den super Bericht. Am interessantesten finde ich dass du dir die Berechtigungen angeschaut hast und das geht für mich gar nicht das ist ein No-Go. Die Berechtigung chrome.webRequest API erlaubt es, den Datenverkehr abzufangen und zu ändern bzw. clipboardRead/clipboardWrite - damit hat die Erweiterung Zugriff auf die Zwischenablage. Für mich nicht nachvollziehbare Berechtigungen und zu gefährlich. LG Michael

Posted using Partiko Android

chrome.webRequest ist keine Seltenheit, man kann in den Einstellungen auch begrenzen, bei welchen Seiten man es erlaubt. Die Erweiterung möchte bei Twitter, snax.one und noch einer weiteren den Zugriff. Bei snax.one ist dies nachvollziehbar, bei den anderen, hmm...
Hört sich trotzdem vielleicht schlimmer an, als es ist.

Okay wenn man das explizit noch einstellen kann ist das ja ok. Danke Dir für die schnelle Antwort.

Posted using Partiko Android

Hi, @michelangelo3, hi all. I'm moderator of Snax and I would like to answer the questions that were raised in the article and comments

  1. Аnonymity of the development team.
    The actions of the regulators are not predictable now, here is an example: https://cryptoslate.com/cryptocurrency-airdrops-and-bounty-campaigns-face-sec-hammer/ We will be anonymous until we are convinced that the rules of the game are established by the regulatory authorities and are understandable.
  2. Concerns about the security of the Browser Plugin
    clipboard permission is also needed to make Ctrl + V working
    when you import your mnemonic or private key
    and also regarding to your article, you don't need an extension to receive SNAX for your content
    browser extension is needed to use snax.one UI to bind your social accounts to Snax and to make transactions (just a wallet functions)
    all the content you create, is grabbed automatically by the oracle
    the whole code of snax extension is open sourced. We use clipboard permission to copy mnemonic phase which can be used to create an asymmetric private key. Also we use it to copy your export private key: But that’s is. https://github.com/SnaxFoundation/snax-browser-extension.
    Our friend prepared a wonderful review of snax https://steemit.com/snaxbountyoprogram/@milaan/review-of-snax-as-a-decentralized-social-media-overlay-for-monetizing-content-with-existing-popular-social-media. There you will find comprehensive information on what Snax is and how to use it. We’ve directed some of our efforts into negotiating a deal with our friends who are going to develop a mobile wallet for Snax and EOS. Follow us on https://twitter.com/SnaxTeam and https://steemit.com/@snaxteam to keep up with all the news

Thank you very much for the information and links!

Vielen Dank , das gefällt mir nicht und hinterlässt einen schlechten 😒 Geschmack normal müssten alle Glocken klingeln !
VgA

Vielen dank für die Aufklärung , ich werde deinen Rat befolgen und diese Erweiterung erst einmal deaktivieren .

Top! :)

Posted using Partiko Android

Gut zu wissen! Danke :)

Posted using Partiko Android

Bei den ganzen Wallets, Erweiterungen und Altcoins soll nochmal eine durchblicken ..... Werd ich mir mal anschauen das Schätzchen ....

Coin Marketplace

STEEM 0.19
TRX 0.15
JST 0.029
BTC 62869.05
ETH 2545.35
USDT 1.00
SBD 2.72