3Sep

Selaimen laajennukset ovat yksityisyyttä painajainen: Lopeta niiden käyttäminen

Selaimen laajennukset ovat paljon vaarallisempia kuin useimmat ihmiset ymmärtävät. Nämä pienet työkalut saavat usein kaiken mitä teet online-tilassa, jotta ne voivat kaapata salasanasi, seurata verkkoselausta, lisätä mainoksia verkkosivuihin, joihin vierailet ja paljon muuta. Suosittuja selainlaajennuksia myydään usein varjoisille yrityksille tai kaapattuina, ja automaattiset päivitykset voivat muuttaa ne haittaohjelmiksi.

Olemme kirjoittaneet siitä, miten selaimen laajennukset vakoilevat sinua aiemmin, mutta ongelma ei ole parantunut. Laajennusten jatkuva virta jatkuu edelleen huonoina.

Miksi selainlaajennukset ovat niin vaarallisia

Selaimen laajennukset toimivat selaimessasi, ja ne vaativat usein kykyä lukea tai muuttaa kaikkia verkkosivuilla, joita käytit.

Jos laajennuksella on pääsy kaikkiin vieraillesi verkkosivuihin, se voi tehdä käytännössä kaiken. Se voi toimia keiloggena salasanojen ja luottokorttitietojen tallentamiseen, mainosten lisäämiseen sivuille, reittisi hakuliikenne muualle, seurata mitä teet verkossa tai kaikki nämä asiat. Jos laajennuksen on tarkistettava kuitit tai muut pienet asiat, se todennäköisesti on lupa tarkistaa sähköpostisi

kaiken - mikä on äärimmäisen vaarallista.

Tämä ei tarkoita sitä, että jokainen -laajennus on : n tekemässä näitä asioita, mutta ne voivat -ja että sinun pitäisi tehdä hyvin, hyvin varovaisia.

Nykyaikaiset selaimet, kuten Google Chrome ja Microsoft Edge, ovat laajennusten lupajärjestelmää, mutta monet laajennukset edellyttävät kaiken pääsyn, jotta ne voivat toimia oikein. Jopa laajennus, joka vaatii vain pääsyn yhdelle verkkosivustolle, voi kuitenkin olla vaarallista. Esimerkiksi laajennus, joka muuttaa jotain tavalla Google.com-palvelua, vaatii pääsyn kaikkiin Google.com-sivustoihin ja siksi pääsee käyttämään Google-tiliäsi - myös sähköpostiosoitteesi.

Nämä eivät ole vain söpöjä, vaarattomia pieniä työkaluja. Ne ovat pieniä ohjelmia, joilla on valtava pääsy web-selaimellesi. Tämä tekee niistä vaarallisia. Jopa laajentaminen, joka vain pienentää verkkosivustasi, jonka voit käydä, saattaa vaatia käyttöösi kaiken, mitä teet verkkoselaimessasi.

Kuinka turvalliset laajennukset voivat muuttaa haittaohjelmiin

Nykyaikaiset selaimet, kuten Google Chrome, päivittävät automaattisesti asennetut selainlaajennukset. Jos laajennus vaatii uusia käyttöoikeuksia, se poistetaan tilapäisesti käytöstä, kunnes se sallitaan. Mutta muussa tapauksessa laajennuksen uusi versio toimii kaikilla samoilla käyttöoikeuksilla kuin edellinen versio. Tämä johtaa ongelmiin.

Elokuussa 2017 Chromen hyvin suosittu ja laajalti suositeltava Web-kehittäjän laajennus kaapattiin. Kehittäjä putosi tietojenkalastushyökkäyksille, ja hyökkääjä lähetti uuden version laajennuksesta, joka sisälsi lisää mainoksia verkkosivuille. Yli miljoona ihmistä, jotka luottavat tämän suosittujen laajennusten kehittäjälle, saivat infektoidun laajennuksen. Koska tämä on laajennus web-kehittäjille, hyökkäys olisi voinut olla paljon huonompi - ei näytä siltä, ​​että tartunnan saanutta laajennusta toimisi esimerkiksi keyloggerina.

Monissa muissa tilanteissa joku kehittää laajennuksen, joka saa suuren määrän käyttäjiä, mutta ei välttämättä rahaa. Tätä kehittäjää lähestyy yritys, joka maksaa suuren määrän rahaa ostaa laajennus. Jos kehittäjä hyväksyy ostoksen, uusi yritys muokkaa laajennusta mainosten lisäämiseen ja seurantaan, lataa sen Chromen verkkokauppaan päivityksenä ja kaikki nykyiset käyttäjät käyttävät nyt uuden yrityksen laajennusta - ilman varoitusta.

Tämä tapahtui Particen YouTubessa, joka on suosittu laajennus YouTuben räätälöimiseksi heinäkuussa 2017. Myös sama asia on tapahtunut monissa muissa laajennuksissa aiemmin. Chrome-laajennushankkeen kehittäjät ovat väittäneet, että he jatkuvasti saavat tarjouksia ostaakseen laajennuksia. Honey-laajennuksen kehittäjät, joilla oli yli 700 000 käyttäjää kerran, kyselivät minulta "Kysy minulta mitä tahansa" Redditilta, josta he saivat usein tarjouksia.

Laajennusten kaappaamisen ja myynnin lisäksi on myös mahdollista, että laajennus on vain huono uutinen ja salaa seuraa sinua, kun asennat sen ensin.

Chrome on hyökkäyksen kohteena sen suosion ansiosta, mutta tämä ongelma koskee kaikkia selaimia. Firefox on todennäköisesti entistä riskialttiimpi, koska se ei käytä lainkaan lupajärjestelmää - kaikki laajennukset, jotka asennat, saavat täyden pääsyn kaikkeen.

Riskin minimointi

Näin pysyt turvallisena: käytä mahdollisimman vähän laajennuksia. Jos et saa paljon hyötyä laajennuksesta, poista se. Yritä asentaa laajennettujen laajennusten luettelo vain olennaisiksi, jotta voit minimoida sen, että jokin asennetuista laajennuksista menee huonoon.

On myös tärkeää käyttää vain luotettavien yritysten laajennuksia. Esimerkiksi satunnainen henkilö, jonka et ole koskaan kuullut, luonut YouTuben räätälöintikampanjan laajennuksen on ensisijainen ehdokas tulemaan haittaohjelmaksi. Kuitenkin Googlen luomia virallisia Gmail-ilmoituksia, Microsoftin luomaa OneNote-muistiinpanoa tai LastPassin luomaa LastPass-salasanan hallintaohjelmaa lähes varmasti ei voi myydä varjoiselle yritykselle muutama tuhatta taalaa.

Sinun on myös kiinnitettävä huomiota siihen, että käyttöoikeuksien laajennukset vaativat, mikäli mahdollista. Esimerkiksi laajennus, joka väittää vain yhden verkkosivuston muokkaamisen, olisi vain pääsy kyseiseen verkkosivustoon. Monet laajennukset tarvitsevat kuitenkin kaiken pääsyn tai pääsevät hyvin herkkään sivustoon, jonka haluat säilyttää( kuten sähköpostiosoitteesi).Käyttöoikeudet ovat kiva idea, mutta ne eivät ole kovin hyödyllisiä, kun useimmat asiat tarvitsevat pääsyn kaikkeen.

Se on hieno linja kävellä tietenkin. Aiemmin voisimme sanoa, että Web Developer -laajennus oli turvallinen, koska se oli oikeutettua. Kehittäjä laski kuitenkin tietojenkalastushyökkäyksille ja laajennus tuli haitalliseksi. Se on hyvä muistutus siitä, että vaikka luotat jollekulle, ettet myydä laajennusta varjoiselle yhtiölle, luotat kyseisen henkilön turvallisuutesi vuoksi. Jos kyseinen henkilö loukkaantuu ja sallii heidän tilinsä kaapata, tulet käsittelemään seuraamuksia - ja ne voivat olla paljon pahempi kuin Web-kehittäjän laajennuksen kanssa.