Pārlūka paplašinājumi ir daudz bīstamāki nekālielākā daļa cilvēku saprot. Šiem mazajiem rīkiem bieži ir piekļuve visam, ko jūs darāt tiešsaistē, tāpēc viņi var tvert jūsu paroles, izsekot jūsu tīmekļa pārlūkošanai, ievietot reklāmas apmeklētajās tīmekļa lapās un daudz ko citu. Populāros pārlūka paplašinājumus bieži pārdod neērtiem uzņēmumiem vai nolaupīt, un automātiskie atjauninājumi tos var pārvērst par ļaunprātīgu programmatūru.
Mēs jau esam rakstījuši par to, kā jūsu pārlūka paplašinājumi jūs agrāk spiegoja, taču šī problēma nav uzlabojusies. Joprojām pastāvīga paplašinājumu plūsma kļūst slikta.
Kāpēc pārlūka paplašinājumi ir tik bīstami
SAISTĪTI: Kāpēc Chrome paplašinājumiem ir nepieciešams “Visi jūsu dati apmeklētajās vietnēs”?
Pārlūka paplašinājumi darbojas jūsu tīmekļa pārlūkprogrammā, un tiem bieži ir nepieciešama spēja lasīt vai mainīt visu jūsu apmeklētajās tīmekļa lapās.
Ja paplašinājumam ir piekļuve visām Web lapāmjūs apmeklējat, tas var darīt praktiski jebko. Tas varētu darboties kā atslēgas bloķētājs, lai tvertu jūsu paroles un kredītkaršu datus, ievietotu sludinājumus apskatītajās lapās, novirzītu meklēšanas trafiku citur, izsekotu visu, ko jūs darāt tiešsaistē, vai visas šīs lietas. Ja paplašinājumam ir jāpārbauda kvītis vai citas sīkas lietas, iespējams, tam ir atļauja skenēt jūsu e-pastu viss—Kas ir ārkārtīgi bīstams.
Tas nenozīmē, ka katrs pagarinājums ir darot šīs lietas, bet viņi var—Un tas būtu ļoti, ļoti jāuzmanās.
Mūsdienu tīmekļa pārlūkprogrammas, piemēram, Google Chrome unMicrosoft Edge ir atļauju sistēma paplašinājumiem, taču daudziem paplašinājumiem ir nepieciešama piekļuve visam, lai tie varētu pareizi darboties. Tomēr pat bīstams var būt paplašinājums, kam nepieciešama tikai piekļuve vienai vietnei. Piemēram, paplašinājumam, kas kaut kādā veidā maina vietni Google.com, būs nepieciešama piekļuve visam, kas atrodas vietnē Google.com, un tāpēc tai ir piekļuve jūsu Google kontam, ieskaitot jūsu e-pastu.
Tie nav tikai jauki, nekaitīgi mazi rīki. Tās ir niecīgas programmas ar milzīgu piekļuves līmeni jūsu tīmekļa pārlūkprogrammai, un tas padara tās bīstamas. Pat paplašinājumam, kas jūsu apmeklētajām tīmekļa lapām ir tikai mazsvarīgs, var būt nepieciešama piekļuve visam, ko darāt savā tīmekļa pārlūkprogrammā.
Cik droši paplašinājumi var pārveidot ļaunprātīgu programmatūru
Mūsdienu tīmekļa pārlūkprogrammas, piemēram, Google Chromeautomātiski atjauniniet instalētos pārlūka paplašinājumus. Ja paplašinājumam ir vajadzīgas jaunas atļaujas, tas uz laiku tiks deaktivizēts, līdz atļausit to. Bet pretējā gadījumā jaunā paplašinājuma versija darbosies ar visām tām pašām atļaujām, ko darīja iepriekšējā versija. Tas rada problēmas.
2017. gada augustā ļoti populārs un plašitika nolaupīts ieteicamais tīmekļa izstrādātāja paplašinājums pārlūkam Chrome. Izstrādātājs piedzīvoja pikšķerēšanas uzbrukumu, un uzbrucējs augšupielādēja jaunu paplašinājuma versiju, kas tīmekļa lapās ievietoja vairāk sludinājumu. Vairāk nekā miljons cilvēku, kuri uzticējās šī populārā paplašinājuma izstrādātājam, ieguva inficēto paplašinājumu. Tā kā šis ir paplašinājums tīmekļa izstrādātājiem, uzbrukums varēja būt daudz sliktāks - šķiet, ka inficētais paplašinājums, piemēram, nedarbojās kā atslēgas bloķētājs.
Daudzās citās situācijās kāds izstrādāpaplašinājums, kas iegūst lielu daudzumu lietotāju, bet ne vienmēr nopelna naudu. Ar šo izstrādātāju vēršas uzņēmums, kas maksās lielu naudas summu, lai iegādātos paplašinājumu. Ja izstrādātājs pieņem pirkumu, jaunais uzņēmums modificē paplašinājumu, lai ievietotu reklāmas un izsekošanu, augšupielādē to Chrome interneta veikalā kā atjauninājumu, un visi esošie lietotāji tagad izmanto jaunā uzņēmuma paplašinājumu bez brīdinājuma.
Tas notika ar populāro vietni YouTubepaplašinājums YouTube pielāgošanai, 2017. gada jūlijā. Tas pats ir noticis ar daudziem citiem paplašinājumiem arī iepriekš. Chrome paplašinājumu izstrādātāji apgalvoja, ka viņi pastāvīgi saņem piedāvājumus iegādāties savus paplašinājumus. Medus paplašinājuma ar vairāk nekā 700 000 lietotāju izstrādātāji savulaik Reddit vadīja “Jautā man jebko”, detalizēti aprakstot, kādus piedāvājumus viņi bieži saņem.
Papildus paplašinājumu nolaupīšanai un pārdošanai ir arī iespējams, ka paplašinājums ir tikai sliktas ziņas un slepeni izseko jūs, kad to instalējat.
Chrome ir ticis pakļauts uzbrukumam tā dēļpopularitāte, taču šī problēma ietekmē visus pārlūkus. Neapšaubāmi, Firefox ir vēl vairāk pakļauts riskam, jo tas nemaz neizmanto atļauju sistēmu - katram instalētajam paplašinājumam ir pilna piekļuve visam.
Kā samazināt risku
SAISTĪTI: Kā atinstalēt paplašinājumus pārlūkā Chrome, Firefox un citos pārlūkos
Lai saglabātu drošību, rīkojieties šādi: Izmantojiet pēc iespējas mazāk paplašinājumus. Ja paplašinājumu neizmantojat daudz, atinstalējiet to. Mēģiniet noregulēt instalēto paplašinājumu sarakstu tikai līdz pamatiem, lai samazinātu iespēju, ka kāds no jūsu instalētajiem paplašinājumiem kļūst slikts.
Ir arī svarīgi izmantot tikai paplašinājumus nouzņēmumi, kuriem uzticaties. Piemēram, galvenais kandidāts, lai kļūtu par ļaunprātīgu programmatūru, ir YouTube pielāgošanas paplašinājums, ko izveidojusi nejauša persona, par kuru nekad neesat dzirdējis. Tomēr oficiālais Google izveidotais Gmail paziņotājs, Microsoft izveidotais OneNote piezīmju ņemšanas paplašinājums vai LastPass izveidotais LastPass paroles pārvaldnieka paplašinājums gandrīz noteikti netiks pārdots ēnainam uzņēmumam par dažiem tūkstošiem dolāru.
Jums jāpievērš uzmanība arī atļaujāmja iespējams, nepieciešami paplašinājumi. Piemēram, paplašinājumam, kas apgalvo tikai par vienas vietnes modificēšanu, vajadzētu būt piekļuvei tikai šai vietnei. Tomēr daudziem paplašinājumiem ir nepieciešama piekļuve visam vai piekļuve ļoti sensitīvai vietnei, kuru vēlaties saglabāt drošībā (piemēram, jūsu e-pasts). Atļaujas ir jauka ideja, taču tās nav pārāk noderīgas, ja lielākajai daļai lietu ir jāpiekļūst visam.
Protams, tā ir smalka līnija staigāt. Agrāk mēs varētu būt teikuši, ka Web izstrādātāja paplašinājums bija drošs, jo tas bija likumīgs. Tomēr izstrādātājs piedzīvoja pikšķerēšanas uzbrukumu, un paplašinājums kļuva ļaunprātīgs. Tas ir labs atgādinājums, ka, pat ja jūs varētu uzticēties kādam nepārdot viņu paplašinājumu ēnainam uzņēmumam, jūs paļaujaties uz šo personu savas drošības dēļ. Ja šī persona paslīd un ļauj nolaupīt viņas kontu, jums būs jānodarbojas ar sekām - un tās varētu būt daudz sliktākas nekā tas, kas notika ar Web izstrādātāja paplašinājumu.
