Selaimen laajennukset ovat yksityisyyden painajainen, joka lakkaa käyttämästä niin monta niistä
Selaimen laajennukset ovat paljon vaarallisempia kuin useimmat ihmiset ymmärtävät. Näillä pienillä työkaluilla on usein pääsy kaikkeen, mitä teet verkossa, jotta he voivat kaapata salasanasi, seurata Web-selailua, lisätä mainoksia Web-sivuille, joita vierailet, ja paljon muuta. Suosittuja selainlaajennuksia myydään usein varjoisille yrityksille tai kaapataan, ja automaattiset päivitykset voivat muuttaa ne haittaohjelmiksi.
Olemme kirjoittaneet, miten selaimen laajennukset ovat vakoilemassa sinua aikaisemmin, mutta tämä ongelma ei ole parantunut. On edelleen jatkuvaa laajennusten virtaa, joka menee huonosti.
Miksi selaimen laajennukset ovat niin vaarallisia
Selaimen laajennukset toimivat Web-selaimessasi, ja ne edellyttävät usein kykyä lukea tai muuttaa kaikkea verkkosivuilla, joita käyt.
Jos laajennuksella on käytössään kaikki vierailemasi verkkosivut, se voi tehdä käytännössä mitä tahansa. Se voisi toimia keyloggerina salasanojen ja luottokorttitietojen tallentamiseen, mainosten sijoittamiseen katsomillasi sivuilla, ohjata hakuliikennettä muualle, seurata kaikkea, mitä teet verkossa tai kaikki nämä asiat. Jos laajennus tarvitsee skannata kuitit tai muut pienet asiat, sillä on luultavasti lupa skannata sähköpostisi kaikki-mikä on erittäin vaarallista.
Tämä ei tarkoita, että jokainen laajennus on tehdä nämä asiat, mutta ne voida-ja sen pitäisi tehdä sinusta hyvin, hyvin varovainen.
Nykyisissä web-selaimissa, kuten Google Chrome ja Microsoft Edge, on lupajärjestelmä laajennuksille, mutta monet laajennukset vaativat pääsyn kaikkeen, jotta ne voivat toimia oikein. Jopa laajennus, joka vaatii vain pääsyn yhteen verkkosivustoon, voi kuitenkin olla vaarallista. Esimerkiksi laajennus, joka muuttaa Google.comia jollakin tavalla, vaatii pääsyn kaikkeen Google.com-sivustoon, ja siksi sinulla on pääsy Google-tilisi, mukaan lukien sähköpostiisi.
Nämä eivät ole vain söpöjä, vaarattomia pieniä työkaluja. He ovat pieniä ohjelmia, joilla on valtava pääsy selaimeesi ja jotka tekevät niistä vaarallisia. Jopa laajennus, joka tekee vain pieniä asioita vierailemillesi verkkosivuille, saattaa edellyttää pääsyä kaikkeen, mitä teet Web-selaimessasi.
Kuinka turvalliset laajennukset voivat muuttua haittaohjelmiin
Nykyaikaiset selaimet, kuten Google Chrome, päivittävät asennetut selaimen laajennukset automaattisesti. Jos laajennus vaatii uusia käyttöoikeuksia, se poistetaan tilapäisesti, kunnes sallit sen. Mutta muuten laajennuksen uusi versio toimii kaikilla samoilla oikeuksilla kuin edellinen versio. Tämä johtaa ongelmiin.
Elokuussa 2017 erittäin suosittu ja laajalti suositeltu Web-kehittäjän laajennus Chromeille oli kaapattu. Kehittäjä putosi tietojenkalasteluhyökkäykseen, ja hyökkääjä lataa uuden version laajennuksesta, joka lisäsi lisää mainoksia verkkosivuille. Yli miljoona ihmistä, jotka luottivat tämän suositun laajennuksen kehittäjään, saivat tartunnan saaneen laajennuksen. Koska tämä on web-kehittäjien laajennus, hyökkäys olisi voinut olla paljon huonompi - se ei näytä siltä, että tartunnan saaneen laajennus toimi esimerkiksi keyloggerina..
Monissa muissa tilanteissa joku kehittää laajennuksen, joka saa paljon käyttäjiä, mutta ei välttämättä tee rahaa. Tätä kehittäjää lähestyy yritys, joka maksaa suuren määrän rahaa ostamaan laajennuksen. Jos kehittäjä hyväksyy ostoksen, uusi yritys muuttaa laajennusta lisäämällä mainoksia ja seurantaa, lataa sen Chrome-verkkokauppaan päivityksenä, ja kaikki nykyiset käyttäjät käyttävät nyt uuden yrityksen laajennusta ilman varoitusta.
Tämä tapahtui hiukkaselle YouTube, joka on suosittu YouTube-sovelluksen laajennus heinäkuussa 2017. Sama asia on tapahtunut monien muiden laajennusten kanssa aiemmin. Chrome-laajennuskehittäjät ovat väittäneet saavansa jatkuvasti tarjouksia ostaa laajennuksia. Honey-laajennuksen kehittäjät, joilla on yli 700 000 käyttäjää, kävivät Redditissä ”Ask Me Anything” -palvelussa, jossa kerrottiin, millaisia tarjouksia he usein saavat.
Laajennusten kaappaamisen ja myynnin lisäksi on myös mahdollista, että laajennus on vain huono uutinen ja salaa seurata sinua, kun asennat sen ensin.
Chrome on ollut hyökkäyksen kohteena sen suosion vuoksi, mutta tämä ongelma koskee kaikkia selaimia. Firefox on luultavasti vieläkin vaarallisempi, koska se ei käytä lupajärjestelmää kaikkialla - jokainen asennettava laajennus saa täyden pääsyn kaikkeen.
Miten riskin minimointi
Näin pysyt turvassa: Käytä mahdollisimman vähän laajennuksia. Jos et käytä laajennusta paljon, poista se. Yritä korjata asennettujen laajennusten luettelo vain välttämättömiksi, jotta minimoidaan yksi asennetuista laajennuksista.
On myös tärkeää käyttää vain luotettavien yritysten laajennuksia. Esimerkiksi satunnaisen henkilön, jota et ole koskaan kuullut, luoman YouTube-mukautuksen laajennus on ensisijainen haittaohjelma. Googlen luomaa virallista Gmail-ilmoitusta, Microsoftin luomaa OneNote-muistiinpanon laajennusta tai LastPassin luomaa LastPass-salasanahallintalaajennusta ei kuitenkaan varmasti myydä varjoiselle yritykselle muutaman tuhannen taalaa.
Sinun tulisi myös kiinnittää huomiota oikeuksien laajennuksiin, jotka mahdollisuuksien mukaan vaativat. Esimerkiksi laajennus, joka vain väittää muuttavansa yhtä verkkosivustoa, saa käyttää vain kyseistä verkkosivustoa. Monet laajennukset tarvitsevat kuitenkin pääsyn kaikkeen tai pääsyn erittäin herkälle verkkosivustolle, jonka haluat säilyttää turvallisena (kuten sähköpostiosoitteesi). Luvat ovat mukava idea, mutta ne eivät ole liian hyödyllisiä, kun useimmat asiat tarvitsevat kaiken.
Se on hieno viiva kulkea tietenkin. Aiemmin olemme saattaneet sanoa, että Web-kehittäjän laajennus oli turvallinen, koska se oli laillinen. Kehittäjä putosi kuitenkin tietojenkalasteluhyökkäykseen ja laajennus tuli haitalliseksi. Se on hyvä muistutus siitä, että vaikka voisitte luottaa siihen, että joku ei myy myymäläänsä varjoisalle yritykselle, luotat siihen henkilöön turvallisuutesi vuoksi. Jos kyseinen henkilö luopuu ja sallii tilinsä kaapata, päädyt käsittelemään seurauksia - ja ne voivat olla paljon huonompia kuin Web Developer -laajennuksen yhteydessä tapahtunut.