Мы писали о том, как ваши расширения браузера шпионили за вами в прошлом, но эта проблема не улучшилась. Там все еще постоянный поток расширений идет плохо.
Почему расширения браузера настолько опасны
Расширения браузера запускаются в вашем веб-браузере, и им часто требуется возможность читать или изменять все на веб-страницах, которые вы посещаете.
Если расширение имеет доступ ко всем веб-страницам, которые вы посещаете, он может делать практически все. Он может функционировать в качестве кейлоггера, чтобы фиксировать ваши пароли и данные кредитной карты, вставлять рекламные объявления на просматриваемые вами страницы, перенаправлять поисковый трафик в другом месте, отслеживать все, что вы делаете в Интернете, или все это. Если для расширения требуется сканировать ваши квитанции или другие мелочи, у него, вероятно, есть разрешение на проверку вашей электронной почты длявсе- что чрезвычайно опасно.
Это не означает, что каждое расширениеявляется делая это, но ониМожно- и это должно сделать вас очень, очень осторожно.
Современные веб-браузеры, такие как Google Chrome и Microsoft Edge, имеют систему разрешений для расширений, но многие расширения требуют доступа ко всему, чтобы они могли нормально работать. Однако даже расширение, которое просто требует доступа к одному веб-сайту, может быть опасным. Например, расширение, которое каким-либо образом изменяет Google.com, потребует доступа ко всему на Google.com и, следовательно, имеет доступ к вашей учетной записи Google, включая электронную почту.
Это не просто милые, безвредные инструменты. Это крошечные программы с огромным уровнем доступа к вашему веб-браузеру, что делает их опасными. Даже расширение, которое делает только второстепенное для веб-страниц, которые вы посещаете, может потребовать доступа ко всему, что вы делаете в своем веб-браузере.
Как безопасные расширения могут трансформироваться в вредоносные программы
В августе 2017 года было распространено очень популярное и широко распространенное расширение для веб-разработчиков для Chrome. Разработчик упал на фишинг-атаку, и злоумышленник загрузил новую версию расширения, которая добавила больше рекламы на веб-страницы. Более миллиона человек, которые доверяли разработчику этого популярного расширения, получили зараженное расширение. Поскольку это расширение для веб-разработчиков, атака могла быть намного хуже - не показалось, что зараженное расширение функционирует, например, как кейлогер.
Во многих других ситуациях кто-то развивает расширение, которое получает большое количество пользователей, но не обязательно зарабатывает деньги. К этому разработчику обращается компания, которая заплатит большую сумму за покупку продления. Если разработчик принимает покупку, новая компания модифицирует расширение, чтобы вставлять рекламные объявления и отслеживать, загружать их в Интернет-магазин Chrome в качестве обновления, а все существующие пользователи теперь используют расширение новой компании - без предупреждения.
Это произошло с Particle for YouTube, популярным расширением для настройки YouTube, в июле 2017 года. То же самое произошло со многими другими расширениями в прошлом. Разработчики расширения Chrome заявили, что они постоянно получают предложения о покупке своих расширений. Разработчики расширения Honey с более чем 700 000 пользователей когда-то запускали «Ask Me Anything» в Reddit, подробно описывая те предложения, которые они часто получают.
В дополнение к захвату и продаже расширений также возможно, что расширение - это просто плохая новость и тайно отслеживает вас, когда вы устанавливаете его в первую очередь.
Из-за его популярности Chrome подвергся атаке, но эта проблема затрагивает все браузеры. Firefox, возможно, даже больше подвержен риску, поскольку он не использует систему разрешений на всех - каждое расширение, которое вы устанавливаете, получает полный доступ ко всему.
Как минимизировать риск
Также важно использовать расширения только от компаний, которым вы доверяете. Например, расширение для настройки YouTube, созданного случайным человеком, о котором вы никогда не слышали, является главным кандидатом на злонамеренность. Тем не менее, официальное уведомление Gmail, созданное Google, добавленное примечание OneNote, созданное Microsoft, или расширение Password Manager для LastPass, созданное LastPass, почти наверняка не будет продано теневой компании за несколько тысяч долларов.
Вы также должны обратить внимание на расширение разрешений, если это возможно.Например, расширение, которое претендует только на изменение одного веб-сайта, должно иметь доступ только к этому веб-сайту. Тем не менее, многие расширения требуют доступа ко всему или доступа к очень чувствительному веб-сайту, который вы хотите сохранить (например, по электронной почте). Разрешения - хорошая идея, но они не слишком полезны, когда большинству вещей нужен доступ ко всему.
Конечно, это тонкая линия. Раньше мы могли сказать, что расширение веб-разработчика было безопасным, потому что оно было законным. Однако разработчик упал на фишинг-атаку, и расширение стало злым. Хорошее напоминание о том, что даже если вы можете доверять кому-то, кто не продает свое расширение теневой компании, вы полагаетесь на этого человека для своей безопасности. Если этот человек ускользнет и позволит захватить свой аккаунт, вы в конечном итоге столкнетесь с последствиями - и они могут быть намного хуже, чем то, что произошло с расширением Web Developer.
