Pārlūkprogrammas paplašinājumi Vai privātuma murgs pieturas, izmantojot tik daudzus no tiem
Pārlūkprogrammas paplašinājumi ir daudz bīstamāki nekā vairums cilvēku. Šie mazie rīki bieži vien var piekļūt visam, ko darāt tiešsaistē, lai viņi varētu uztvert jūsu paroles, izsekot jūsu tīmekļa pārlūkošanu, ievietot reklāmas tīmekļa lapās, kuras jūs apmeklējat, un vairāk. Populāri pārlūkprogrammas paplašinājumi bieži tiek pārdoti ēnainiem uzņēmumiem vai nolaupīti, un automātiskie atjauninājumi tos var pārvērst par ļaunprātīgu programmatūru.
Mēs esam rakstījuši par to, kā jūsu pārlūkprogrammas paplašinājumi pagātnē spiego, bet šī problēma nav uzlabojusies. Vēl joprojām pastāv nepārtraukta paplašinājumu plūsma.
Kāpēc pārlūkprogrammas paplašinājumi ir tik bīstami
Pārlūkprogrammas paplašinājumi darbojas jūsu tīmekļa pārlūkprogrammā, un tie bieži prasa iespēju lasīt vai mainīt visu tīmekļa lapās, ko apmeklējat.
Ja paplašinājumam ir piekļuve visām apmeklētajām tīmekļa lapām, tā var praktiski darīt visu. Tas varētu darboties kā keylogger, lai attēlotu jūsu paroles un kredītkartes datus, ievietotu reklāmas tajās lapās, kuras skatāt, pāradresējiet meklēšanas trafiku citur, izsekojat visu, ko darāt tiešsaistē, vai visas šīs lietas. Ja paplašinājumam nepieciešams skenēt jūsu čekus vai citas sīkas lietas, tas, iespējams, ir saņēmis atļauju skenēt jūsu e-pastu viss-kas ir ārkārtīgi bīstami.
Tas nenozīmē, ka katrs paplašinājums ir darot šīs lietas, bet tās var-un tam vajadzētu būt ļoti, ļoti piesardzīgiem.
Modernajām tīmekļa pārlūkprogrammām, piemēram, Google Chrome un Microsoft Edge, ir paplašināšanas atļauju sistēma, bet daudziem paplašinājumiem ir nepieciešama piekļuve visam, lai viņi varētu darboties pareizi. Tomēr pat paplašinājums, kas prasa piekļuvi vienai tīmekļa vietnei, var būt bīstams. Piemēram, paplašinājumam, kas kaut kādā veidā maina Google.com, būs nepieciešama piekļuve pakalpojumam Google.com, un tādēļ jums ir piekļuve jūsu Google konta, tostarp jūsu e-pasta ziņojumam..
Tie nav tikai gudri, nekaitīgi mazie rīki. Tie ir niecīgas programmas ar lielu piekļuvi jūsu tīmekļa pārlūkprogrammai un padara tās bīstamas. Pat paplašinājumam, kas apmeklē tikai nelielām lietām tīmekļa vietnēs, var būt nepieciešama piekļuve visam jūsu tīmekļa pārlūkprogrammā.
Cik drošu paplašinājumu var pārveidot par ļaunprātīgu programmatūru
Mūsdienīgas tīmekļa pārlūkprogrammas, piemēram, Google Chrome, automātiski atjaunina instalētos pārlūkprogrammas paplašinājumus. Ja paplašinājumam ir nepieciešamas jaunas atļaujas, tā īslaicīgi tiks deaktivizēta, līdz to atļausit. Bet, citādi, jaunā paplašinājuma versija darbosies ar visām tām pašām atļaujām, kādas bija iepriekšējā versija. Tas rada problēmas.
2017. gada augustā ļoti populārs un plaši ieteiktais tīmekļa izstrādātāja paplašinājums Chrome tika nolaupīts. Izstrādātājs samazinājās par pikšķerēšanas uzbrukumu, un uzbrucējs augšupielādēja jaunu paplašinājuma versiju, kas tīmekļa lapās ievietoja vairāk reklāmas. Vairāk nekā miljons cilvēku, kuri uzticējās šī populārā paplašinājuma izstrādātājam, beidzās ar inficēto paplašinājumu. Tā kā šis ir tīmekļa izstrādātāju paplašinājums, uzbrukums varēja būt daudz sliktāks - nešķiet, ka inficētais paplašinājums darbojās kā keylogger, piemēram,.
Daudzās citās situācijās kāds izstrādā paplašinājumu, kas iegūst lielu lietotāju skaitu, bet ne vienmēr veic naudu. Šo attīstītāju vēršas uzņēmums, kas maksās lielu naudas summu, lai iegādātos paplašinājumu. Ja attīstītājs pieņem pirkumu, jaunais uzņēmums groza paplašinājumu, lai ievietotu reklāmas un izsekošanu, augšupielādē to Chrome interneta veikalā kā atjauninājumu, un visi esošie lietotāji tagad izmanto jaunā uzņēmuma paplašinājumu bez brīdinājuma.
Tas notika ar daļiņu YouTube, kas ir populārs paplašinājums YouTube pielāgošanai 2017. gada jūlijā. Tas pats notika ar daudziem citiem paplašinājumiem pagātnē. Chrome paplašinājumu izstrādātāji ir apgalvojuši, ka viņi pastāvīgi saņem piedāvājumus iegādāties paplašinājumus. Medus paplašinājuma izstrādātāji ar vairāk nekā 700 000 lietotāju reiz veica “Ask Me Anything” uz Reddit, detalizēti norādot, kādus piedāvājumus viņi bieži saņem.
Papildus paplašinājumu nolaupīšanai un pārdošanai ir iespējams, ka paplašinājums ir tikai sliktas ziņas un slepeni izseko jūs, instalējot to vispirms.
Chrome ir bijis uzbrukums tās popularitātes dēļ, taču šī problēma skar visas pārlūkprogrammas. Firefox ir neapšaubāmi pat vairāk apdraudēta, jo tā neizmanto atļauju sistēmu, jo katrs instalētais paplašinājums nodrošina pilnīgu piekļuvi visam.
Kā samazināt risku
Lūk, kā palikt droši: izmantojiet pēc iespējas mazāk paplašinājumu. Ja paplašinājums netiek izmantots, atinstalējiet to. Mēģiniet samontēt instalēto paplašinājumu sarakstu tikai uz būtiskiem elementiem, lai samazinātu iespēju, ka viens no instalētajiem paplašinājumiem ir slikts.
Ir svarīgi arī izmantot paplašinājumus no uzticamiem uzņēmumiem. Piemēram, paplašinājums, lai pielāgotu YouTube, ko izveidojis nejaušs cilvēks, kuru neesat dzirdējis, ir galvenais kandidāts, lai kļūtu par ļaunprātīgu programmatūru. Tomēr oficiālais Gmail paziņotājs, ko izveidojis Google, OneNote piezīme, ko paplašina Microsoft, vai LastPass parole vadītāja paplašinājums, ko izveidoja LastPass, gandrīz noteikti netiks pārdots ēnainam uzņēmumam dažiem tūkstošiem dolāru..
Ja iespējams, jums jāpievērš uzmanība arī atļaujas paplašinājumiem. Piemēram, paplašinājums, kas attiecas tikai uz vienu tīmekļa vietnes modificēšanu, drīkst piekļūt tikai šai tīmekļa vietnei. Tomēr daudziem paplašinājumiem ir nepieciešama piekļuve visam vai piekļuve ļoti jutīgai vietnei, kuru vēlaties saglabāt (piemēram, jūsu e-pasta adrese). Atļaujas ir jauka ideja, bet tās nav pārāk noderīgas, ja lielākajai daļai lietu ir nepieciešama piekļuve visam.
Protams, tā ir smalka līnija. Agrāk mēs varētu teikt, ka Web Developer paplašinājums bija drošs, jo tas bija likumīgs. Tomēr attīstītājs samazinājās par pikšķerēšanas uzbrukumu, un paplašinājums kļuva ļaunprātīgs. Tas ir labs atgādinājums, ka, pat ja jūs varētu uzticēties kādam, kas nepārdod paplašinājumu ēnainam uzņēmumam, jūs paļauties uz šo personu jūsu drošībai. Ja šī persona izslīdēs un ļauj viņu konta nolaupīt, jūs galu galā risināsiet sekas, un tās var būt daudz sliktākas nekā tas, kas notika ar Web Developer paplašinājumu.