הרחבות דפדפן האם סיוט פרטיות להפסיק להשתמש כל כך הרבה מהם
הרחבות דפדפן הן הרבה יותר מסוכן מאשר רוב האנשים מבינים. כלים קטנים אלה לעיתים קרובות יש גישה לכל מה שאתה עושה באינטרנט, כך שהם יכולים ללכוד את הסיסמאות שלך, לעקוב אחר הגלישה באינטרנט, להוסיף פרסומות לתוך דפי אינטרנט אתה מבקר, ועוד. הרחבות דפדפן פופולריות נמכרות לעתים קרובות לחברות מפוקפקות או לחטופים, ועדכונים אוטומטיים יכולים להפוך אותן לתוכנה זדונית.
כתבנו על הרחבת הרחבות הדפדפן שלך בעבר, אך הבעיה לא השתפרה. יש עדיין זרם קבוע של הרחבות הולך רע.
למה הרחבות דפדפן הן כל כך מסוכן
הרחבות דפדפן פועלות בדפדפן האינטרנט שלך, והן דורשות לעתים קרובות את היכולת לקרוא או לשנות הכל על דפי אינטרנט שבהם אתה מבקר.
אם לתוסף יש גישה לכל דפי האינטרנט שבהם אתה מבקר, הוא יכול לעשות כמעט כל דבר. זה יכול לתפקד כ keylogger כדי ללכוד את הסיסמאות ואת פרטי כרטיס האשראי, להוסיף פרסומות לתוך הדפים שאתה מציג, לנתב מחדש את תנועת החיפוש במקום אחר, לעקוב אחר כל מה שאתה עושה באינטרנט או כל הדברים האלה. אם תוסף צריך לסרוק את הקבלות או דברים קטנים אחרים, סביר להניח שיש לו הרשאה לסרוק את הדוא"ל שלך הכל-וזה מסוכן מאוד.
זה לא אומר שכל הרחבה J עושה את הדברים האלה, אבל הם פחית-וזה צריך לגרום לך מאוד, זהיר מאוד.
לדפדפני אינטרנט מודרניים כגון Google Chrome ו- Microsoft Edge יש מערכת הרשאות לתוספים, אך תוספים רבים דורשים גישה לכל דבר כדי שיוכלו לפעול כראוי. גם הרחבה כי רק דורש גישה לאתר אחד יכול להיות מסוכן, עם זאת. לדוגמה, תוסף שמשנה את Google.com בדרך כלשהי יחייב גישה לכל דבר ב- Google.com, ולכן יש לו גישה לחשבון Google שלך - כולל הדוא"ל שלך.
אלה לא רק חמוד, כלים קטנים מזיקים. הם תוכניות זעירות עם רמה עצומה של גישה לדפדפן האינטרנט שלך, וזה עושה אותם מסוכנים. גם הרחבה כי רק עושה דבר קטין דפי אינטרנט אתה מבקר עשוי לדרוש גישה לכל מה שאתה עושה בדפדפן האינטרנט שלך.
כיצד הרחבות בטוח יכול להפוך לתוכנה זדונית
דפדפני אינטרנט מודרניים כגון Google Chrome מעדכנים אוטומטית את תוספי הדפדפן המותקנים שלך. אם תוסף דורש הרשאות חדשות, הוא יופסק באופן זמני עד שתאפשר זאת. אבל, אחרת, הגירסה החדשה של ההרחבה תפעל עם כל ההרשאות אותו הגרסה הקודמת עשה. זה מוביל לבעיות.
באוגוסט 2017, נחסמה התוסף הפופולרי והמומלץ ביותר של Web Developer עבור Chrome. היזם נפל על תקיפת התחזות, והתוקף העלה גרסה חדשה של התוסף שהכניס יותר פרסומות לדפי אינטרנט. מעל מיליון אנשים אשר סמכו על היזם של תוסף זה פופולרי בסופו של דבר מקבל את התוסף נגוע. כמו זה הוא הרחבה עבור מפתחי אינטרנט, ההתקפה יכול היה להיות הרבה יותר גרוע, זה לא נראה כי הארכה נגוע שימש כ keylogger, למשל.
במצבים רבים אחרים, מישהו מפתחת הרחבה כי הרווחים כמות גדולה של משתמשים, אבל לא בהכרח לעשות כסף. היזם הוא ניגש על ידי חברה שישלם כמות גדולה של כסף כדי לרכוש את הארכה. אם היזם מקבל את הרכישה, החברה החדשה משנה את התוסף כדי להוסיף פרסומות ומעקב, מעבירה אותו לחנות האינטרנט של Chrome כעדכון, וכל המשתמשים הקיימים משתמשים כעת בתוסף של החברה החדשה - ללא התראה.
זה קרה חלקיקים עבור YouTube, הרחבה פופולרי עבור התאמה אישית של YouTube, בחודש יולי 2017. אותו דבר קרה התרחבות רבות אחרות בעבר. מפתחי תוספי Chrome טענו שהם מקבלים כל הזמן הצעות לרכישת התוספים שלהם. המפתחים של האני הארכה עם מעל 700,000 משתמשים פעם רץ "שאל אותי כל דבר" על Reddit, המפרט את סוג של הצעות שהם מקבלים לעתים קרובות.
בנוסף לחטיפה ולמכירה של הרחבות, ייתכן גם שתוסף הוא רק חדשות רעות, והוא עוקב אחריך בחשאי כאשר אתה מתקין אותו מלכתחילה.
Chrome היה תחת התקפה בגלל הפופולריות שלו, אך בעיה זו משפיעה על כל הדפדפנים. פיירפוקס הוא עוד יותר בסיכון, שכן הוא אינו משתמש במערכת אישור בכלל - כל הרחבה אתה מתקין מקבל גישה מלאה לכל דבר.
כיצד למזער את הסיכון
הנה איך לשמור על בטיחות: השתמש הרחבות מעטים ככל האפשר. אם אתה לא מקבל הרבה שימוש מתוך הרחבה, להסיר את זה. נסה לחשוף את הרשימה של הרחבות מותקנות רק את היסודות כדי למזער את הסיכוי אחד ההרחבות המותקנות שלך הולך רע.
כמו כן, חשוב להשתמש רק בתוספים מחברות שאתה בוטח בהם. לדוגמה, הרחבה עבור התאמה אישית של YouTube שנוצרה על ידי אדם אקראי שמעולם לא שמעת עליו, היא מועמדת ראשית להפיכת תוכנות זדוניות. עם זאת, Notifier הרשמי של Gmail שנוצרו על ידי Google, הערה OneNote לוקח תוסף שנוצרו על ידי מיקרוסופט, או LastPass סיומת מנהל הרחבה שנוצרה על ידי LastPass כמעט בוודאות לא יימכר לחברה מוצלת עבור כמה אלפי דולרים.
אתה צריך גם לשים לב ההרשאות הרחבות דורשים, במידת האפשר. לדוגמה, תוסף שמבקש לטעון אתר אחד צריך לקבל גישה לאתר זה בלבד. עם זאת, תוספים רבים זקוקים לגישה לכל דבר, או לגשת לאתר רגיש מאוד שברצונך לשמור עליו (כמו הדוא"ל שלך). הרשאות הן רעיון נחמד, אבל הן לא שימושיות מדי כאשר רוב הדברים צריכים גישה לכל דבר.
זה קו יפה ללכת, כמובן. בעבר, היינו יכולים לומר כי הרחבת האינטרנט היה בטוח כי זה לגיטימי. עם זאת, היזם נפל על תקיפת התחזות והתוסף הפך לזדוני. זה תזכורת טובה, כי גם אם אתה יכול לסמוך על מישהו לא למכור את הארכה לחברה מוצלת, אתה מסתמך על אותו אדם עבור האבטחה שלך. אם האדם הזה יחליק ויתיר את החשבון שלו, בסופו של דבר תתמודד עם ההשלכות - והן יכולות להיות הרבה יותר גרועות ממה שקרה עם הרחבת Web Developer.