Содержание
Вы можете подумать, что расширения браузера — это все, что вам нужно, конечному пользователю. Ты был бы неправ.
Хотя некоторые расширения, такие как инструменты закладки
, блокировщики рекламы и дополнения перевода
несомненно, предоставит множество преимуществ для пользователя, многие, казалось бы, невинные расширения имеют гораздо более темную сторону — с недавним скандалом вокруг Hola VPN
быть показательным примером.
Независимо от того, являются ли они расширениями, которые используют уязвимости в других приложениях и веб-сайтах, или просто предоставляют поток информации потенциальным хакерам самостоятельно, нет никаких сомнений в том, что вам нужно проявлять бдительность в отношении того, что вы добавляете в свой браузер.
Насколько широко распространена проблема?
Исследование, проведенное в конце прошлого года, проанализировало более 48 000 расширений в магазине Chrome. Их результаты показали, что более 4700 были «подозрительными», а 130 — «злыми». Несмотря на то, что он остался безымянным, исследователи утверждали, что один из этих 130 имел более 5,5 миллионов пользователей.
В то время Тайлер Регули, исследователь безопасности и член группы исследователей уязвимостей и уязвимостей Tripwire, сказал: «Плагины Google Chrome во многом похожи на приложения Android. Они требуют чрезмерных разрешений, не давая конечному пользователю реального понимания того, что они делают. В обоих случаях Google Chrome и Android проблема заключается в Google ».
Вот лишь небольшой пример расширений браузера, которые могут помочь хакерам нацелиться на своих жертв:
Карта мародеров
Карта Marauders [sic] относится к числу двух вышеупомянутых категорий, поскольку использует законное приложение Facebook Messenger для отображения местоположений ваших друзей на карте.
Конечно, мы все уже знали, что Facebook разделяет наше местоположение
с друзьями, но вы, вероятно, не знали, насколько точны данные или насколько легко их извлечь и использовать. Расширение было разработано студентом из США, поэтому мы не говорим об очень сложном коде и алгоритмах — это то, на что мог бы наткнуться любой человек с хорошим уровнем кодирования, любознательным умом и большим количеством свободного времени.
Отчеты предполагают, что данные могут быть извлечены еще в 2013 году, хотя это будет работать только для друзей, у которых в сообщениях Facebook включен общий доступ к местоположению (опция включена по умолчанию как на Android, так и на iOS).
Если вы тот человек, который сильно модерирует свой список друзей в Facebook, это, вероятно, не то, что может вызывать чрезмерную озабоченность, но если вы обычно принимаете приглашения и у вас тысячи друзей, некоторые из которых вы едва знаете, тогда вам следует подумать о том, Следующие шаги тщательно.
Используя это приложение, вполне возможно, что хакер сможет узнать (или выяснить, основываясь на прошлом поведении), когда вас нет дома, увидеть, какие магазины вы посещаете, и узнать, с кем вы проводите больше всего времени. Это явно информация, которую вы должны хранить как можно более конфиденциально для вашей собственной безопасности.
Наведите курсор
Hover Zoom попадает во вторую категорию, упомянутую в начале. Это непосредственно мониторинг вашего онлайн поведения
,
Принцип, лежащий в основе расширения, прост и привлекателен — он позволяет просматривать галереи изображений на нескольких популярных веб-сайтах (таких как Reddit, Amazon, Pinterest, eBay, Facebook и т. Д.), Наведя указатель мыши на изображение и не нажимая на сам эскиз. ,
С момента своего запуска он собрал более 1,1 миллиона пользователей.
Многие из этих пользователей могут не знать, что расширение активно отслеживает онлайн-привычки подавляющего большинства из них.
Но как это произошло, и как им позволено сойти с рук?
Hover Zoom начал свою жизнь как честное и независимое расширение, которое сделало именно то, что было сказано, и не более того. Однако, по мере того как его популярность росла, росла и его привлекательность для рекламного и вредоносного ПО.
Он был выкуплен одной из таких компаний, и теперь он имеет долгую историю «плохого поведения», уходящую довольно давно — разработчики были пойманы на сборе данных онлайн-форм и продаже ваших нажатий клавиш в последние годы.
Они могут сойти с рук, потому что они раскрывают это на своей странице описания. В нем говорится: «Hover Zoom требует, чтобы пользователи расширений предоставляли разрешение Hover Zoom для сбора активности просмотра для внутреннего использования и передачи третьим сторонам для анонимного и агрегированного использования в исследовательских целях». На практике это означает, что они отслеживают посещаемую вами единственную веб-страницу и получают оплату за эти данные, одновременно размещая рекламу на самых посещаемых вами сайтах.
Подводя итог, можно сказать, что более одного миллиона людей следят за этим расширением.
BBC News Reader и Autocopy
Проблема продажи расширений и превращения их в трекеры не ограничивается Google Chrome.
(Неофициальный) BBC News Reader на Firefox также был признан виновным, наряду с Autocopy — инструментом, который автоматически копирует выбранный текст в буфер обмена.
Это дает пользователям важный урок о сторонних расширениях
, приложения и веб-сайты. В то время как официальные приложения некоторых служб подвергаются (часто законной) критике за их подход к конфиденциальности и безопасности, в действительности они находятся во власти своей пользовательской базы — достаточно большой протест вынуждает их решать проблемы и вносить изменения в свои политики. Сторонние приложения и расширения, как правило, не ограничены таким давлением со стороны потребителей — они могут отслеживать вас и продавать ваши данные, зачастую даже без вашего ведома.
Используйте их на свой страх и риск.
Привет, Unblocker
Ни один список вредоносных расширений не будет полным без Hola
, Исследователи называют «идеальной платформой для выполнения целенаправленных кибератак», когда-то любимый бесплатный VPN-сервис сейчас находится на вершине списка «расширений, которых следует избегать».
С 46 миллионами пользователей по всему миру это самое большое вредоносное расширение в Chrome Store.
Проблема появилась на свет после того, как владелец форума, который утверждал, что пользователи Hola бессознательно заставляли ботнет проводить несколько атак на его сайт. Затем разработчики признали, что пропускная способность от пользователей бесплатной версии расширения продавалась для покрытия эксплуатационных расходов.
На практике это означало, что каждый пользователь стал конечной точкой сети, каждый из которых мог быть использован хакерами и злоумышленниками.
Основатель Hola защищал свою компанию как инноваторы, говоря: «Мы внедрили инновации быстро, но, похоже, Стив Джобс был прав. Мы допустили некоторые ошибки, и теперь мы собираемся их быстро исправить », — но это будет небольшим утешением для скомпрометированных пользователей.
Как вы знаете, если ваши расширения являются вредоносными?
Самый эффективный способ определить, является ли расширение вредоносным, — это использовать Shield For Chrome [больше не доступно], что, по иронии судьбы, является другим расширением!
После установки он автоматически просканирует все расширения в вашем браузере и сообщит, есть ли в списке черные. Затем вы можете удалить любого нарушителя.
Он также имеет некоторые дополнительные полезные функции; например, он покажет вам разрешения, которые есть у каждого расширения в настоящее время, отслеживает будущие установки и поведение веб-сайта на предмет любых злонамеренных действий, и вскоре у него будет возможность уведомлять вас о смене владельца расширения или о его поведении. как ни странно.
Вы также можете проверить Расширение Защитника [Больше не доступно]. Он выполняет ту же работу, что и Shield For Chrome, но, основываясь на комментариях пользователей, он, по-видимому, отмечает меньше ложных срабатываний.
Вас поймали?
Вы были сожжены вредоносным расширением? Какой тип браузера вы используете — у вас есть сотни расширений, которыми вы редко пользуетесь, или вы сохраняете свою машину скудной и подлой?
Возможно, вы знаете о вредоносном расширении, которое мы пропустили?
Независимо от вашей ситуации, мы хотели бы услышать от вас. Дайте нам знать ваши мысли, отзывы и мнения в комментариях ниже.
