3Sep
naršyklių plėtiniai yra daug pavojingesni nei dauguma žmonių supranta.Šie nedideli įrankiai dažniausiai turi prieigą prie visko, ką jūs darote internete, kad galėtumėte užfiksuoti savo slaptažodžius, sekti žiniatinklio naršymą, įterpti skelbimus į lankomus tinklalapius ir dar daugiau. Populiarios naršyklės plėtiniai dažnai parduodami šešėlinėms kompanijoms arba pagrobti, o automatiniai naujiniai gali tapti kenkėjiškomis programomis.
Mes parašėme apie tai, kaip praeityje jūsų naršyklės plėtiniai šnipinėjo, tačiau ši problema nepagerėjo. Vis dar yra nuolatinis pratęsimų srautas.
Kodėl naršyklės plėtiniai yra tokie pavojingi
naršyklės plėtiniai paleidžiami jūsų naršyklėje, ir dažnai jie turi galimybę skaityti ar keisti viską apsilankiusiuose tinklalapiuose.
Jei pratęsimas turi prieigą prie visų aplankytų tinklalapių, tai gali padaryti beveik viską.Tai galėtų veikti kaip keylogger, kad būtų užfiksuoti jūsų slaptažodžiai ir kredito kortelių duomenys, įterpti skelbimus į jūsų peržiūrėtus puslapius, peradresuoti savo paieškos srautą kitur, stebėti viską, ką darai internete, arba visus šiuos dalykus. Jei pratęsimas turi nuskaityti jūsų įplaukas ar kitus smulkius dalykus, tikriausiai jis turi leidimą nuskaityti jūsų el. Laišką
viskam , kuris yra labai pavojingas.Tai nereiškia, kad kiekvienas išplėtimas yra , daro šiuos dalykus, bet jie gali - ir tai turėtų padaryti jus labai, labai atsargiai.
Šiuolaikinės interneto naršyklės, pvz., "Google Chrome" ir "Microsoft Edge", turi išplėtimo leidimų sistemą, tačiau daugeliui plėtinių reikalinga prieiga prie visko, kad jie galėtų tinkamai veikti. Vis dėlto netgi pratęsimas, dėl kurio reikalinga prieiga prie vienos svetainės, gali būti pavojingas. Pvz., Plėtinys, kuris tam tikru būdu keičia "Google.com", reikės pasiekti viską, esantį "Google.com", ir turėti prieigą prie "Google" paskyros, įskaitant el. Paštą.
Tai ne tik mieli, nekenksmingi mažai įrankiai. Tai mažos programos, kurios gali pasiekti didelę prieigą prie jūsų žiniatinklio naršyklės, o tai kelia pavojų.Net pratęsimas, kuris tik nedidelis dalykas yra aplankytų tinklalapių, gali prireikti prieigos prie visko, ką jūs darote savo naršyklėje.
Kaip saugūs plėtiniai gali paversti kenkėjiškomis programomis
Šiuolaikinės žiniatinklio naršyklės, pvz., "Google Chrome", automatiškai atnaujina jūsų įdiegtus naršyklės plėtinius. Jei pratęsimas reikalauja naujų leidimų, jis bus laikinai išjungtas tol, kol jį leisite. Tačiau priešingu atveju naujoji pratęsimo versija bus vykdoma su visais ankstesnės versijos leidimais. Tai sukelia problemų.
2017 m. Rugpjūčio mėn. Labai populiarus ir plačiai rekomenduotas "Chrome" sukurtas "Web Developer" plėtinys buvo užgrobtas. Kūrėjas nukrito už sukčiavimo ataką, o užpuolikas atsiuntė naują versiją pratęsimo, kuris įtraukė daugiau reklamų į tinklalapius. Daugiau nei milijonas žmonių, kurie patikėjo šios populiarios išplėstos kūrėju, galėjo gauti užkrėstą plėtinį.Kadangi tai yra žiniatinklio kūrėjų pratęsimas, ataka galėjo būti daug blogesnė - neatrodo, kad užkrėstas plėtinys veikė kaip keylogger, pavyzdžiui.
Daugelyje kitų situacijų kažkas kuria plėtinį, kuris gauna didelį naudotojų skaičių, bet nebūtinai uždirba pinigus.Šį kūrėją kreipiasi įmonė, kuri sumokės didelę sumą, kad įsigytų pratęsimą.Jei kūrėjas priima įsigijimą, nauja įmonė pakeičia plėtinį, kad įterptų reklamą ir stebėtų, įkelia ją į "Chrome" internetinę parduotuvę kaip naujinį, o visi esami naudotojai dabar naudoja naujos įmonės plėtinį be įspėjimo.
Tai įvyko "Particle for YouTube", populiariam "YouTube" pritaikymo pratęsimui 2017 m. Liepos mėn. Tas pats pasitaikė ir daugelyje kitų praplėtimų."Chrome" plėtinių kūrėjai teigė, kad nuolat gauna pasiūlymų pirkti plėtinius."Honey" plėtinio, kuriame dalyvavo daugiau nei 700 000 vartotojų, kūrėjai "Reddit" "Redaguoti" klausė manęs nieko, nurodydami, kokius pasiūlymus jie dažnai gauna.
Be prievartos užgrobimo ir pardavimo, taip pat yra įmanoma, kad plėtinys yra tik blogos naujienos, ir slapta dainos, kai jūs jį įdiegiate pirmiausia. Dėl savo populiarumo "
" "Chrome" buvo užpultas, tačiau ši problema kenkia visoms naršyklėms."Firefox", be abejonės, yra dar didesnė rizika, nes ji visai nenaudoja leidimų sistemos. Kiekvienas įdiegtas plėtinys suteikia visišką prieigą prie visko.
Kaip sumažinti
rizikąŠtai kaip saugiai laikytis: naudoti kuo daugiau pratęsimų.Jei netinkamai naudojate iš plėtinio, pašalinkite jį.Stenkitės ištaisyti savo įdiegtų plėtinių sąrašą tik esminiams dalykams, kad sumažintumėte tikimybę, kad vienas iš jūsų įdiegtų plėtinių yra blogas.
Taip pat svarbu naudoti tik pratęsimus iš bendrovių, kurioms jūs pasitikite. Pvz., "YouTube" tinkinimo plėtinys, sukurtas atsitiktiniu asmeniu, kurio jūs niekada negirdėjote, yra pagrindinis kandidatas į kenkėjišką programinę įrangą.Tačiau "Google" sukurtas oficialus "Gmail" pranešėjas, "Microsoft" sukurtas "OneNote" atpažinimo įrašas, kurį sukūrė "Microsoft", arba "LastPass" sukurtas "LastPass" slaptažodžių tvarkyklės plėtinys beveik nebūtinai bus parduotas šešėlinei kompanijai keliems tūkstančiams dolerių.
Taip pat turėtumėte atkreipti dėmesį į leidimų pratęsimus, kai tai įmanoma. Pavyzdžiui, plėtinys, kuris reikalauja tik keisti vieną svetainę, turėtų turėti prieigą tik prie šios svetainės. Tačiau daugeliui plėtinių reikia prieigos prie visko arba prieiti prie labai jautrios svetainės, kurią norite saugiai laikyti( pvz., El. Paštą).Leidimai yra graži idėja, tačiau jie nėra labai naudingi, kai daugumai dalykų reikia prieigos prie visko.
Žinoma, tai puiki linija vaikščioti. Anksčiau mes galėjome pasakyti, kad žiniatinklio kūrimo plėtinys buvo saugus, nes jis buvo teisėtas. Tačiau kūrėjas nukrito už sukčiavimo ataką, o plėtra tapo kenkėjišku. Tai yra geras priminimas, kad net jei jūs galėtumėte pasitikėti žmogumi, kad neperleisite savo plėtinio šešėlinei kompanijai, jūs pasikliaujate šiuo asmeniu dėl savo saugumo. Jei šis asmuo užsikemša ir leidžia jų sąskaitą užgrobti, jūs galų gale susidursite su pasekmėmis ir jie gali būti daug blogesni, nei tai, kas nutiko su žiniatinklio kūrėjo plėtiniu.