3Sep
jauh lebih berbahaya daripada yang disadari kebanyakan orang. Alat kecil ini sering memiliki akses ke semua hal yang Anda lakukan secara online, sehingga mereka dapat menangkap kata kunci Anda, melacak penjelajahan web Anda, menyisipkan iklan ke halaman web yang Anda kunjungi, dan banyak lagi. Ekstensi browser yang populer sering dijual ke perusahaan teduh atau dibajak, dan pembaruan otomatis dapat mengubahnya menjadi perangkat lunak perusak.
Kami telah menulis tentang bagaimana ekstensi browser Anda memata-matai Anda di masa lalu, namun masalah ini belum membaik. Masih ada aliran ekstensi konstan yang akan buruk.
Mengapa Ekstensi Browser Sangat Berbahaya
Ekstensi browser berjalan di browser web Anda, dan mereka sering meminta kemampuan untuk membaca atau mengubah semuanya di halaman web yang Anda kunjungi.
Jika perpanjangan memiliki akses ke semua halaman web yang Anda kunjungi, itu bisa dilakukan secara praktis. Ini bisa berfungsi sebagai keylogger untuk menangkap kata kunci dan rincian kartu kredit Anda, memasukkan iklan ke halaman yang Anda lihat, mengarahkan lalu lintas pencarian Anda ke tempat lain, melacak semua yang Anda lakukan secara online-atau semua ini. Jika perpanjangan perlu memindai kuitansi Anda atau hal-hal kecil lainnya, mungkin ada izin untuk memindai email Anda untuk
semuanya -yang sangat berbahaya.Itu tidak berarti bahwa setiap ekstensi adalah melakukan hal-hal ini, namun dapat - dan itu seharusnya membuat Anda sangat waspada.
Peramban web modern seperti Google Chrome dan Microsoft Edge memiliki sistem izin untuk ekstensi, namun banyak ekstensi memerlukan akses ke semuanya sehingga mereka dapat bekerja dengan semestinya. Bahkan perpanjangan yang hanya membutuhkan akses ke satu situs web bisa berbahaya. Misalnya, ekstensi yang mengubah Google.com dengan cara tertentu memerlukan akses ke segala hal di Google.com, dan karenanya memiliki akses ke akun Google Anda-termasuk email Anda.
Ini bukan hanya alat kecil yang imut dan tidak berbahaya. Mereka adalah program kecil dengan tingkat akses yang besar ke browser web Anda, dan itu membuat mereka berbahaya. Bahkan perpanjangan yang hanya melakukan hal kecil ke halaman web yang Anda kunjungi mungkin memerlukan akses ke semua hal yang Anda lakukan di browser web Anda.
Bagaimana Ekstensi Aman Dapat Mentransformasikan Ke Malware
Peramban web modern seperti Google Chrome memperbarui secara otomatis ekstensi browser yang Anda pasang. Jika perpanjangan memerlukan izin baru, sementara itu akan dinonaktifkan sampai Anda mengizinkannya. Tapi, jika tidak, versi baru ekstensi akan berjalan dengan semua hak akses yang sama dengan versi sebelumnya. Hal ini menyebabkan masalah.
Pada bulan Agustus 2017, ekstensi Pengembang Web yang sangat populer dan banyak direkomendasikan untuk Chrome telah dibajak. Pengembang jatuh karena serangan phishing, dan penyerang mengunggah versi baru ekstensi yang memasukkan lebih banyak iklan ke halaman web. Lebih dari satu juta orang yang mempercayai pengembang ekstensi populer ini akhirnya mendapatkan ekstensi yang terinfeksi. Karena ini adalah ekstensi untuk pengembang web, serangannya bisa jadi jauh lebih buruk - tampaknya ekstensi yang terinfeksi tidak berfungsi sebagai keylogger, misalnya.
Dalam banyak situasi lain, seseorang mengembangkan ekstensi yang memperoleh banyak pengguna, namun tidak menghasilkan uang. Pengembang itu didekati oleh perusahaan yang akan membayar sejumlah besar uang untuk membeli ekstensi. Jika pengembang menerima pembelian, perusahaan baru akan memodifikasi ekstensi untuk memasukkan iklan dan pelacakan, mengunggahnya ke Toko Web Chrome sebagai pembaruan, dan semua pengguna yang ada sekarang menggunakan ekstensi perusahaan baru-tanpa peringatan.
Hal ini terjadi pada Partikel untuk YouTube, ekstensi populer untuk menyesuaikan YouTube, pada bulan Juli 2017. Hal yang sama telah terjadi pada banyak ekstensi lainnya di masa lalu. Pengembang ekstensi Chrome telah mengklaim bahwa mereka terus-menerus menerima tawaran untuk membeli ekstensi mereka. Pengembang ekstensi Honey dengan lebih dari 700.000 pengguna pernah menjalankan "Ask Me Anything" di Reddit, merinci jenis penawaran yang sering mereka dapatkan.
Selain pembajakan dan penjualan ekstensi, ada kemungkinan juga bahwa perpanjangan hanya berita buruk, dan secara diam-diam melacak Anda saat Anda menginstalnya terlebih dahulu.
Chrome telah diserang karena popularitasnya, namun masalah ini mempengaruhi semua browser. Firefox bisa dibilang lebih berisiko lagi, karena sama sekali tidak menggunakan sistem perizinan - setiap ekstensi yang Anda instal mendapat akses penuh untuk semuanya.
Bagaimana Meminimalkan Resiko
Berikut cara untuk tetap aman: Gunakan sesedikit mungkin ekstensi. Jika Anda tidak banyak menggunakan ekstensi, copot pemasangannya. Cobalah untuk mengurangi daftar ekstensi terinstal Anda hanya dengan yang paling penting untuk meminimalkan kemungkinan salah satu ekstensi terpasang Anda menjadi buruk.
Penting juga untuk hanya menggunakan ekstensi dari perusahaan yang Anda percaya. Misalnya, ekstensi untuk menyesuaikan YouTube yang dibuat oleh orang acak yang belum pernah Anda dengar adalah kandidat utama untuk menjadi perangkat lunak jahat. Namun, Notifier Gmail resmi yang dibuat oleh Google, OneNote mencatat ekstensi yang dibuat oleh Microsoft, atau ekstensi pengelola kata sandi LastPass yang dibuat oleh LastPass hampir pasti tidak akan dijual ke perusahaan teduh seharga beberapa ribu dolar.
Anda juga harus memperhatikan perluasan hak akses yang diperlukan, bila memungkinkan. Misalnya, ekstensi yang hanya mengklaim memodifikasi satu situs web hanya boleh memiliki akses ke situs web tersebut. Namun, banyak ekstensi memerlukan akses ke segala hal, atau akses ke situs web yang sangat sensitif yang ingin Anda tetap aman( seperti email Anda).Perizinan adalah ide bagus, tapi tidak terlalu berguna bila kebanyakan hal membutuhkan akses terhadap semuanya.
Ini adalah jalur yang bagus untuk berjalan, tentu saja. Dulu, kita mungkin mengatakan bahwa ekstensi Pengembang Web aman karena sah. Namun, pengembang jatuh karena serangan phishing dan ekstensi tersebut menjadi berbahaya. Ini adalah pengingat yang bagus bahwa, bahkan jika Anda bisa mempercayai seseorang untuk tidak menjual ekstensi mereka ke perusahaan yang teduh, Anda mengandalkan orang itu untuk keamanan Anda. Jika orang itu tergelincir dan membiarkan akun mereka dibajak, akhirnya Anda akan menghadapi konsekuensinya - dan kemungkinan ini akan jauh lebih buruk daripada apa yang terjadi dengan ekstensi Pengembang Web.