3Sep
sú oveľa nebezpečnejšie, než si väčšina ľudí uvedomuje. Tieto malé nástroje majú často prístup ku všetkému, čo robíte on-line, aby mohli zachytiť vaše heslá, sledovať prehliadanie webových stránok, vložiť reklamy na webové stránky, ktoré navštívite, atď.Populárne rozšírenia prehliadača sa často predávajú do tienistých firiem alebo únoscov a automatické aktualizácie ich môžu premeniť na škodlivý softvér.
Napísali sme o tom, ako vás vaše rozšírenia prehliadača v minulosti špehujú, ale tento problém sa nezlepšil. Stále je stále neustály tok rozšírení.
Prečo rozšírenia prehliadača sú také nebezpečné
Rozšírenia prehliadača vo vašom webovom prehliadači a často vyžadujú možnosť čítať alebo meniť všetko na navštívených webových stránkach.
Ak má rozšírenie prístup ku všetkým navštíveným webovým stránkam, môže urobiť prakticky čokoľvek. Mohlo by to fungovať ako keylogger na zachytenie hesiel a detailov kreditných kariet, vloženie inzerátov do zobrazených stránok, presmerovanie vyhľadávania návštevou inde, sledovanie všetkého, čo robíte on-line, alebo všetky tieto veci. Ak rozšírenie potrebuje skenovať vaše príjmy alebo iné malé veci, pravdepodobne má povolenie skenovať váš e-mail pre
všetko - čo je veľmi nebezpečné.To neznamená, že každé rozšírenie je robiť tieto veci, ale môže - a to by vás malo veľmi, veľmi pozorné.
Moderné webové prehliadače ako sú prehliadače Google Chrome a Microsoft Edge majú systém povolenia pre rozšírenia, ale mnohé rozšírenia vyžadujú prístup ku všetkému, aby mohli fungovať správne. Dokonca aj rozšírenie, ktoré len vyžaduje prístup na jednu webovú stránku, môže byť nebezpečné.Napríklad rozšírenie, ktoré modifikuje Google.com nejakým spôsobom, bude vyžadovať prístup k všetkým položkám na stránkach Google.com, a preto bude mať prístup k vášmu účtu Google - vrátane vášho e-mailu.
Nie sú to len roztomilé, neškodné malé nástroje. Sú to maličké programy s obrovským prístupom k vášmu internetovému prehliadaču a to je nebezpečné.Dokonca aj rozšírenie, ktoré len navštívi webové stránky, ktoré navštívite, môže vyžadovať prístup k všetkému, čo robíte vo svojom webovom prehliadači.
Ako bezpečné rozšírenia môžu premeniť na škodlivý softvér
Moderné webové prehliadače, ako je prehliadač Google Chrome, automaticky aktualizujú vaše nainštalované rozšírenia prehliadača. Ak rozšírenie vyžaduje nové povolenia, bude dočasne deaktivované, kým to nepovolíte. Ale inak bude nová verzia rozšírenia spustená so všetkými rovnakými oprávneniami, ktoré predchádzajúca verzia vykonala. To vedie k problémom.
V auguste 2017 bolo veľmi unáhlené a veľmi rozšírené rozšírenie Web Developer pre Chrome zablokované.Vývojár padol na phishingový útok a útočník odovzdal novú verziu rozšírenia, ktorá vložila viac reklám do webových stránok. Viac ako milión ľudí, ktorým dôverovala vývojárovi tohto populárneho rozšírenia, sa dostalo k infikovanej rozšíreniu. Keďže toto je rozšírenie pre webových vývojárov, útok by mohol byť oveľa horší - nezdá sa, že infikované rozšírenie fungovalo ako keylogger.
V mnohých iných situáciách si niekto vytvorí rozšírenie, ktoré získa veľké množstvo používateľov, ale nemusí nutne robiť žiadne peniaze. Ten vývojár je oslovený spoločnosťou, ktorá bude platiť veľké množstvo peňazí na nákup rozšírenia. Ak vývojár akceptuje nákup, nová spoločnosť upraví rozšírenie tak, aby vkladala reklamy a sledovanie, odovzdáva ju do Internetového obchodu Chrome ako aktualizácia a všetci existujúci používatelia teraz používajú rozšírenie novej spoločnosti - bez upozornenia.
V júli 2017 sa to stalo Particle for YouTube, populárnym rozšírením pre prispôsobenie služby YouTube. Rovnako sa to stalo aj s mnohými ďalšími rozšíreniami v minulosti. Vývojári rozšírení Chrome tvrdili, že neustále dostávajú ponuky na zakúpenie svojich rozšírení.Vývojári rozšírenia Honey s viac ako 700 000 používateľmi raz spustili na Reddite "Opýtajte sa čokoľvek" a podrobne opisujú typy ponúk, ktoré často dostávajú.
Okrem únosu a predaja rozšírení je tiež možné, že rozšírenie je len zlá správa a tajne vás sleduje pri inštalácii na prvom mieste.
Chrome bol napadnutý kvôli jeho popularite, ale tento problém sa týka všetkých prehliadačov. Firefox je pravdepodobne ešte viac ohrozený, pretože vôbec nepoužíva systém povolení - každé rozšírenie, ktoré inštalujete, má plný prístup ku všetkému.
Ako minimalizovať riziko
Tu je spôsob, ako zostať v bezpečí: Použite čo najmenej rozšírení ako je to možné.Ak z rozšírenia nezískate veľa využitia, odinštalujte ho. Snažte sa zhrnúť zoznam vašich nainštalovaných rozšírení na základné informácie, aby ste minimalizovali možnosť, že niektorá z vašich nainštalovaných rozšírení bude zlá.
Je tiež dôležité používať iba rozšírenia od spoločností, ktorým dôverujete. Napríklad rozšírenie na prispôsobenie služby YouTube vytvorené náhodnou osobou, o ktorej ste nikdy nepočuli, je hlavným kandidátom na získanie malware. Avšak oficiálny Gmail Notifier vytvorený spoločnosťou Google, poznámka OneNote s rozšírením vytvoreným spoločnosťou Microsoft alebo rozšírenie LastPass pre správcu hesiel, ktoré vytvoril spoločnosť LastPass, sa takmer určite pre niekoľko tisíc dolárov takmer nebudú predávať tienistému podniku.
Mali by ste tiež venovať pozornosť požiadavkám na rozšírenie povolení, ak je to možné.Napríklad rozšírenie, ktoré požaduje iba úpravu jednej webovej stránky, by malo mať prístup k tejto webovej lokalite. Mnohé rozšírenia však potrebujú prístup ku všetkým, alebo prístup k veľmi citlivým webovým stránkam, ktoré chcete zabezpečiť( napríklad váš e-mail).Povolenia sú pekný nápad, ale nie sú príliš užitočné, keď väčšina vecí potrebuje prístup ku všetkému.
Samozrejme je to pekná trasa. V minulosti sme mohli povedať, že rozšírenie Web Developer bolo bezpečné, pretože bolo legitímne. Vývojár však padol na phishingový útok a rozšírenie sa stalo škodlivým. Je to dobrá pripomienka, že aj keby ste mohli dôverovať niekomu, aby nepredával svoje rozšírenie na tienistú spoločnosť, spoliehate sa na túto osobu pre vašu bezpečnosť.Ak táto osoba uviaže a umožní, aby bol účet zabavený, skončíte s týmito následkami - a mohli by byť oveľa horšie ako to, čo sa stalo s rozšírením Web Developer.