Mes parašėme apie tai, kaip praeityje jūsų naršyklės plėtiniai šnipinėjo jus, bet ši problema nepagerėjo. Vis dar yra nuolatinis pratęsimų srautas.
Kodėl naršyklės plėtinys yra toks pavojingas
Naršyklės plėtiniai paleidžiami žiniatinklio naršyklėje, todėl jiems dažnai reikia skaityti ar keisti viską apsilankytuose tinklalapiuose.
Jei pratęsimas turi prieigą prie visų lankomų tinklalapių, tai gali padaryti beveik bet ką. Tai galėtų veikti kaip keylogger, kad būtų užfiksuoti jūsų slaptažodžiai ir kredito kortelių duomenys, įterpti skelbimus į jūsų peržiūrėtus puslapius, peradresuoti savo paieškos srautą kitur, stebėti viską, ką darai internete, arba visus šiuos dalykus. Jei plėtinys turi nuskaityti jūsų kvitus ar kitus smulkius dalykus, tikriausiai jis turi leidimą nuskaityti jūsų el. Laiškąviskas- kuri yra labai pavojinga.
Tai nereiškia, kad kiekvienas pratęsimasyra daryk tokius dalykus, bet jiegali- ir tai turėtų jus labai, labai atsargiai.
Šiuolaikinės interneto naršyklės, pvz., "Google Chrome" ir "Microsoft Edge", turi išplėtimo leidimų sistemą, tačiau daugeliui plėtinių reikalinga prieiga prie visko, kad jie galėtų tinkamai veikti. Vis dėlto netgi pratęsimas, dėl kurio reikalinga tik viena svetainė, gali būti pavojingas. Pvz., Plėtinys, kuris tam tikru būdu keičia "Google.com", reikės pasiekti viską, esantį "Google.com", ir turėti prieigą prie "Google" paskyros, įskaitant el. Paštą.
Tai ne tik mielas, nekenksmingas mažai įrankių. Tai mažos programos, kurios gali pasiekti didelę prieigą prie jūsų žiniatinklio naršyklės, o tai kelia pavojų. Net pratęsimas, kuris tik nedidelis dalykas yra aplankytų tinklalapių, gali prireikti prieigos prie visko, ką jūs darote savo naršyklėje.
Kaip saugūs plėtiniai gali paversti kenkėjiškomis programomis
2017 m. Rugpjūtį buvo pagrobtas labai populiarus ir plačiai rekomenduojamas "Chrome" žiniatinklio kūrėjų plėtinys. Kūrėjas nukrito už sukčiavimo ataką, o užpuolikas atsiuntė naują versiją pratęsimo, kuris įtraukė daugiau reklamų į tinklalapius. Daugiau nei milijonas žmonių, kurie patikėjo šios populiarios išplėstos kūrėju, galėjo gauti užkrėstą plėtinį. Kadangi tai yra žiniatinklio kūrėjų pratęsimas, ataka galėjo būti daug blogesnė - neatrodo, kad užkrėstas plėtinys veikė kaip keylogger, pavyzdžiui.
Daugelyje kitų situacijų kažkas kuria plėtinį, kuris gauna daug naudotojų, bet nebūtinai uždirba pinigus. Šį kūrėją kreipiasi įmonė, kuri sumokės didelę sumą, kad įsigytų pratęsimą. Jei kūrėjas priima įsigijimą, nauja įmonė pakeičia plėtinį, kad įterptų reklamą ir stebėtų, įkelia ją į "Chrome" internetinę parduotuvę kaip naujinį, o visi esami naudotojai dabar naudoja naujos įmonės plėtinį be įspėjimo.
Tai įvyko "Particle for YouTube", populiariam "YouTube" pritaikymo pratęsimui 2017 m. Liepos mėn. Tas pats pasitaikė ir daugelyje kitų praplėtimų. "Chrome" plėtinių kūrėjai teigė, kad nuolat gauna pasiūlymų pirkti plėtinius. "Honey" plėtinio, kuriame dalyvavo daugiau nei 700 000 vartotojų, kūrėjai "Reddit" "Redaguoti" klausė manęs nieko, nurodydami, kokius pasiūlymus jie dažnai gauna.
Be to, kad pagrobimas ir pardavimas pratęsimų, taip pat yra įmanoma, kad pratęsimas yra tik blogos naujienos ir slapta dainos, kai jūs jį įdiegiate pirmiausia.
Dėl savo populiarumo "Chrome" buvo užpultas, tačiau ši problema kenkia visoms naršyklėms. "Firefox", be abejonės, yra dar didesnė rizika, nes ji visai nenaudoja leidimų sistemos. Kiekvienas įdiegtas plėtinys suteikia visišką prieigą prie visko.
Kaip sumažinti riziką
Taip pat svarbu naudoti pratęsimus tik iš bendrovių, kurioms pasitikite. Pvz., "YouTube" tinkinimo plėtinys, sukurtas atsitiktiniu asmeniu, kurio jūs niekada negirdėjote, yra pagrindinis kandidatas į kenkėjišką programinę įrangą. Tačiau "Google" sukurtas oficialus "Gmail" pranešėjas, "Microsoft" sukurtas "OneNote" atpažinimo įrašas, kurį sukūrė "Microsoft", arba "LastPass" sukurtas "LastPass" slaptažodžių tvarkyklės plėtinys beveik nebūtinai bus parduotas šešėlinei kompanijai keliems tūkstančiams dolerių.
Taip pat turėtumėte atkreipti dėmesį į leidimų pratęsimus, kai tai įmanoma.Pavyzdžiui, plėtinys, kuris reikalauja tik keisti vieną svetainę, turėtų turėti prieigą tik prie šios svetainės. Tačiau daugeliui plėtinių reikia prieigos prie visko arba prieiti prie labai jautrios svetainės, kurią norite saugiai laikyti (pvz., El. Paštą). Leidimai yra graži idėja, tačiau jie nėra labai naudingi, kai daugumai dalykų reikia prieigos prie visko.
Žinoma, tai puiki linija vaikščioti. Anksčiau mes galėjome pasakyti, kad žiniatinklio kūrimo plėtinys buvo saugus, nes jis buvo teisėtas. Tačiau kūrėjas nukrito už sukčiavimo ataką, o plėtra tapo kenkėjišku. Tai geras priminimas, kad net jei jūs galėtumėte pasitikėti žmogumi nenaudoti savo plėtinio šešėlinei kompanijai, jūs pasikliaujate šiuo asmeniu dėl savo saugumo. Jei šis asmuo užsikemša ir leidžia jų sąskaitą užgrobti, jūs galų gale susidursite su pasekmėmis ir jie gali būti daug blogesni, nei tai, kas nutiko su žiniatinklio kūrėjo plėtiniu.