Olemme kirjoittaneet siitä, miten selaimen laajennukset vakoilevat sinua aiemmin, mutta ongelma ei ole parantunut. Laajennusten jatkuva virta jatkuu edelleen huonoina.
Miksi selainlaajennukset ovat niin vaarallisia
Selaimen laajennukset toimivat selaimessasi, ja ne vaativat usein kykyä lukea tai muuttaa kaikkia verkkosivuilla, joita käytät.
Jos laajennuksella on pääsy kaikkiin vieraillesi verkkosivuihin, se voi tehdä käytännössä kaiken. Se voi toimia keiloggena salasanojen ja luottokorttitietojen tallentamiseen, mainosten lisäämiseen sivuille, reittisi hakuliikenne muualle, seurata mitä teet verkossa tai kaikki nämä asiat. Jos laajennuksen on tarkistettava kuitit tai muut pienet asiat, sillä on todennäköisesti lupa skannata sähköpostisikaikki- mikä on erittäin vaarallista.
Tämä ei tarkoita, että jokainen laajennuson Tee nämä asiat, mutta nevoida- ja sen pitäisi tehdä sinusta hyvin, hyvin varovaisia.
Nykyaikaiset selaimet, kuten Google Chrome ja Microsoft Edge, ovat laajennusten käyttöoikeusjärjestelmää, mutta monet laajennukset vaativat kaiken pääsyn siihen, jotta ne voivat toimia oikein. Jopa laajennus, joka vaatii vain pääsyn yhdelle verkkosivustolle, voi kuitenkin olla vaarallista. Esimerkiksi laajennus, joka muuttaa jotain tavalla Google.com-palvelua, vaatii pääsyn kaikkiin Google.com-sivustoihin ja siksi pääsee käyttämään Google-tiliäsi - myös sähköpostiosoitteesi.
Nämä eivät ole vain söpöjä, vaarattomia pieniä työkaluja. Ne ovat pieniä ohjelmia, joilla on valtava pääsy web-selaimellesi. Tämä tekee niistä vaarallisia. Jopa laajentaminen, joka vain pienentää verkkosivustasi, jonka voit käydä, saattaa vaatia käyttöösi kaiken, mitä teet verkkoselaimessasi.
Kuinka turvalliset laajennukset voivat muuttua haittaohjelmiksi
Nykyaikaiset selaimet, kuten Google Chrome, päivittävät automaattisesti asennetut selaimen laajennukset. Jos laajennus vaatii uusia käyttöoikeuksia, se poistetaan tilapäisesti käytöstä, kunnes se sallitaan. Mutta muussa tapauksessa laajennuksen uusi versio toimii kaikilla samoilla käyttöoikeuksilla kuin edellinen versio. Tämä johtaa ongelmiin.
Elokuussa 2017 Chromen erittäin suosittu ja laajalti suositeltava Web-kehittäjän laajennus kaapattiin. Kehittäjä putosi tietojenkalastushyökkäyksille, ja hyökkääjä lähetti uuden version laajennuksesta, joka sisälsi lisää mainoksia verkkosivuille. Yli miljoona ihmistä, jotka luottavat tämän suosittujen laajennusten kehittäjälle, saivat infektoidun laajennuksen. Koska tämä on laajennus web-kehittäjille, hyökkäys olisi voinut olla paljon huonompi - ei näytä siltä, että tartunnan saanutta laajennusta toimisi esimerkiksi keyloggerina.
Monissa muissa tilanteissa joku kehittää laajennuksen, joka saa suuren määrän käyttäjiä, mutta ei välttämättä rahaa. Tätä kehittäjää lähestyy yritys, joka maksaa suuren määrän rahaa ostaa laajennus. Jos kehittäjä hyväksyy ostoksen, uusi yritys muokkaa laajennusta mainosten lisäämiseen ja seurantaan, lataa sen Chromen verkkokauppaan päivityksenä ja kaikki nykyiset käyttäjät käyttävät nyt uuden yrityksen laajennusta - ilman varoitusta.
Tämä tapahtui Particen YouTubessa, joka on suosittu laajennus YouTuben muokkaamiseen heinäkuussa 2017. Myös sama asia on tapahtunut monissa muissa laajennuksissa aiemmin. Chrome-laajennushankkeen kehittäjät ovat väittäneet, että he jatkuvasti saavat tarjouksia ostaakseen laajennuksia. Honey-laajennuksen kehittäjät, joilla oli yli 700 000 käyttäjää kerran, kyselivät minulta "Kysy minulta kaiken" Redditilta, josta he saivat usein tarjouksia.
Laajennusten kaappaamisen ja myynnin lisäksi on myös mahdollista, että laajennus on vain huono uutinen ja salaa seuraa sinua, kun asennat sen ensin.
Chrome on hyökkäyksen kohteena suosionsa vuoksi, mutta tämä ongelma koskee kaikkia selaimia. Firefox on todennäköisesti entistä riskialttiimpi, koska se ei käytä lainkaan lupajärjestelmää - kaikki laajennukset, jotka asennat, saavat täyden pääsyn kaikkeen.
Miten minimoida riski
On myös tärkeää käyttää vain laajennuksia luottamiesi yritysten kanssa. Esimerkiksi satunnainen henkilö, jonka et ole koskaan kuullut, luonut YouTuben räätälöintikampanjan laajennuksen on ensisijainen ehdokas tulemaan haittaohjelmaksi. Kuitenkin Googlen luomia virallisia Gmail-ilmoituksia, Microsoftin luomaa OneNote-muistiinpanoa tai LastPassin luomaa LastPass-salasanan hallintaohjelmaa lähes varmasti ei voi myydä varjoiselle yritykselle muutama tuhatta taalaa.
Sinun on myös kiinnitettävä huomiota siihen, että käyttöoikeuksien laajennukset vaativat mahdollisuuksien mukaan.Esimerkiksi laajennus, joka väittää vain yhden verkkosivuston muokkaamisen, olisi vain pääsy kyseiseen verkkosivustoon. Monet laajennukset tarvitsevat kuitenkin kaiken pääsyn tai pääsevät hyvin herkkään sivustoon, jonka haluat säilyttää (kuten sähköpostiosoitteesi). Käyttöoikeudet ovat kiva idea, mutta ne eivät ole kovin hyödyllisiä, kun useimmat asiat tarvitsevat pääsyn kaikkeen.
Se on hieno linja kävellä tietenkin. Aiemmin voisimme sanoa, että Web Developer -laajennus oli turvallinen, koska se oli oikeutettua. Kehittäjä laski kuitenkin tietojenkalastushyökkäyksille ja laajennus tuli haitalliseksi. Se on hyvä muistutus siitä, että vaikka luotat jollekulle, ettet myydä laajennusta varjoiselle yhtiölle, luotat kyseisen henkilön turvallisuutesi vuoksi. Jos kyseinen henkilö loukkaantuu ja sallii heidän tilinsä kaapata, tulet käsittelemään seuraamuksia - ja ne voivat olla paljon pahempi kuin Web-kehittäjän laajennuksen kanssa.
