תוספי דפדפן הם סיוט פרטיות: הפסיקו להשתמש בכל כך הרבה מהם

תוספי דפדפן הם הרבה יותר מסוכנים מאשררוב האנשים מבינים. לרוב לכלים הקטנים האלה יש גישה לכל מה שאתה עושה באופן מקוון, כך שהם יכולים לתפוס את הסיסמאות שלך, לעקוב אחר גלישת האינטרנט שלך, להכניס פרסומות לדפי אינטרנט שאתה מבקר בהם ועוד. תוספי דפדפן פופולריים נמכרים לרוב לחברות מוצלות או נחטפים, ועדכונים אוטומטיים יכולים להפוך אותם לתוכנות זדוניות.

כתבנו על איך תוספי הדפדפן שלך מרגלים אותך בעבר, אך בעיה זו לא השתפרה. עדיין יש זרם קבוע של הרחבות שמשתבש.

מדוע תוספי הדפדפן כל כך מסוכנים

קשורים: מדוע תוספי Chrome זקוקים ל"כל הנתונים שלך באתרי האינטרנט שבהם אתה מבקר "?

תוספי דפדפן פועלים בדפדפן האינטרנט שלך, ולעתים קרובות הם דורשים את היכולת לקרוא או לשנות את כל מה שבדפי האינטרנט שאתה מבקר בהם.

אם לתוסף יש גישה לכל דפי האינטרנטאתה מבקר, זה יכול לעשות כמעט כל דבר. זה יכול לתפקד כמפתח keylogger כדי ללכוד את הסיסמאות ופרטי כרטיס האשראי שלך, להכניס פרסומות לדפים שאתה מציג, להפנות מחדש את תנועת החיפוש שלך למקום אחר, לעקוב אחר כל מה שאתה עושה באינטרנט - או את כל הדברים האלה. אם תוסף זקוק לסריקת קבלות או דברים קטנים אחרים, כנראה שיש לו הרשאה לסרוק את הדוא"ל שלך הכל- שזה מסוכן ביותר.

זה לא אומר שכל הרחבה פועל עזר לגוף שני עושה את הדברים האלה, אבל הם פחיתוזה אמור לגרום לך להיות מאוד זהיר.

דפדפני אינטרנט מודרניים כמו Google Chrome ו-ל- Microsoft Edge יש מערכת הרשאה לתוספים, אך תוספים רבים דורשים גישה לכל דבר כדי שיוכלו לעבוד כראוי. אפילו סיומת שרק דורשת גישה לאתר אחד עלולה להיות מסוכנת. לדוגמה, תוסף שמשנה את Google.com בדרך כלשהי ידרוש גישה לכל מה שמופיע ב- Google.com, ולכן יש גישה לחשבון Google שלך ​​- כולל הדוא"ל שלך.

אלה אינם סתם כלים קטנים וחמודים ולא מזיקים. מדובר בתוכניות קטנטנות עם רמת גישה אדירה לדפדפן האינטרנט שלך, וזה הופך אותם למסוכנים. אפילו סיומת שרק עושה דבר מינורי לדפי אינטרנט שאתה מבקר בה עשויה לדרוש גישה לכל מה שאתה עושה בדפדפן האינטרנט שלך.

כיצד הרחבות בטוחות יכולות להפוך לתוכנות זדוניות

דפדפני אינטרנט מודרניים כמו גוגל כרוםעדכן אוטומטית את תוספי הדפדפן המותקנים שלך. אם תוסף דורש הרשאות חדשות, הוא יושבת באופן זמני עד שתאפשר זאת. אבל, אחרת, הגרסה החדשה של התוסף תפעל עם כל אותן הרשאות שהגירסה הקודמת עשתה. זה מוביל לבעיות.

באוגוסט 2017, הפופולרי מאוד ורחבההרחבה המומלצת למפתחי אתרים ל- Chrome נחטפה. היזם נפל בגין התקפת דיוג, והתוקף העלה גרסה חדשה של התוסף שהכניסה פרסומות נוספות לדפי אינטרנט. למעלה ממיליון אנשים שבטחו במפתח של התוסף הפופולרי הזה בסופו של דבר קיבלו את התוסף הנגוע. מכיוון שזו הרחבה למפתחי אתרים, ההתקפה יכולה הייתה להיות גרועה בהרבה - לא נראה שהסיומת הנגועה תפקדה כ- keylogger, למשל.

במצבים רבים אחרים, מישהו מפתחתוסף שמשיג כמות גדולה של משתמשים, אך לא בהכרח מרוויח כסף. אל אותו מפתח פונה חברה שתשלם סכום כסף גדול כדי לרכוש את התוסף. אם היזם מקבל את הרכישה, החברה החדשה משנה את התוסף כדי להכניס פרסומות ומעקב, מעלה אותו לחנות האינטרנט של Chrome כעדכון, וכל המשתמשים הקיימים משתמשים כעת בתוסף של החברה החדשה - ללא אזהרה.

זה קרה לחלקיק ליוטיוב, פופולריתוסף להתאמה אישית של YouTube, ביולי 2017. אותו דבר קרה להרחבות רבות אחרות בעבר. מפתחי תוספי Chrome טענו שהם כל הזמן מקבלים הצעות לרכישת התוספים שלהם. מפתחי תוסף האני עם למעלה מ- 700,000 משתמשים ניהלו פעם "שאל אותי כל דבר" ב- Reddit, ובו פירוט סוג ההצעות שהם מקבלים לעיתים קרובות.

בנוסף לחטיפה ומכירת שלוחות, ייתכן גם שתוסף זה פשוט חדשות רעות, ועוקב אחריך בסתר כשאתה מתקין אותה מלכתחילה.

Chrome התקף בגלל זהפופולריות, אך בעיה זו משפיעה על כל הדפדפנים. אפשר לטעון כי פיירפוקס עוד יותר בסיכון, מכיוון שהיא אינה משתמשת בכלל במערכת הרשאות - כל סיומת שתתקין מקבלת גישה מלאה לכל דבר.

כיצד למזער את הסיכון

קשורים: כיצד להסיר התקנת תוספים בדפדפני Chrome, Firefox ודפדפנים אחרים

כך תוכלו להישאר בטוחים: השתמש בכמה שפחות תוספים. אם לא תשתמש הרבה בתוסף, הסר אותו. נסה לצמצם את רשימת התוספים המותקנים רק לעיקר התנאים כדי למזער את הסיכוי שאחת מהתוספים המותקנים שלך תיפגע.

חשוב להשתמש רק בתוספים מ-חברות שאתה בוטח בהן. לדוגמה, הרחבה להתאמה אישית של YouTube שנוצרה על ידי אדם אקראי שמעולם לא שמעת עליו היא מועמדת ראשונה להפיכתה לתוכנה זדונית. עם זאת, הודעת ה- Gmail הרשמית שנוצרה על ידי גוגל, הערת OneNote בהרחבה שנוצרה על ידי מיקרוסופט, או סיומת מנהל הסיסמאות של LastPass שנוצרה על ידי LastPass כמעט ודאי לא תימכר לחברה מוצלת תמורת כמה אלפי דולרים.

עליכם לשים לב גם להרשאותהרחבות דורשות, במידת האפשר. לדוגמה, סיומת הטוענת רק לשנות אתר אחד צריכה להיות בעלת גישה רק לאתר זה. עם זאת, תוספים רבים זקוקים לגישה לכל דבר, או לגישה לאתר רגיש מאוד שתרצה לשמור עליו (כמו הדוא"ל שלך). הרשאות הן רעיון נחמד, אך הן אינן מועילות מדי כאשר רוב הדברים זקוקים לגישה לכל דבר.

זה כמובן קו יפה לצעוד, כמובן. בעבר, יכול להיות שאמרנו שהרחבת מפתח האתר הייתה בטוחה מכיוון שהיא הייתה לגיטימית. עם זאת, היזם נפל על התקפת דיוג והסיומת הפכה לזדונית. זו תזכורת טובה שגם אם היית יכול לסמוך על מישהו שלא ימכור את ההרחבה שלו לחברה מוצלת, אתה סומך על אותו אדם למען ביטחונך. אם אותו אדם מתגנב ומאפשר לחטוף את חשבונו, בסופו של דבר תתמודד עם ההשלכות - והם יכולים להיות גרועים בהרבה ממה שקרה עם התוסף למפתחי רשת.