הרחבות דפדפנים הן סיוט פרטיות: הפסק להשתמש בכל כך הרבה מהן

סיומות דפדפן מסוכנות הרבה יותר ממה שרוב האנשים מבינים. לרוב כלים קטנים אלה יש גישה לכל מה שאתה עושה באופן מקוון, כך שהם יכולים לתפוס את הסיסמאות שלך, לעקוב אחר הגלישה שלך באינטרנט, להכניס פרסומות לדפי אינטרנט שאתה מבקר בהם ועוד. הרחבות פופולריות של דפדפנים נמכרות לרוב לחברות מוצלות או נחטפות, ועדכונים אוטומטיים יכולים להפוך אותם לתוכנות זדוניות.

כתבנו על איך הרחבות הדפדפן שלך מרגלות אחריך בעבר, אך הבעיה הזו לא השתפרה. עדיין יש זרם מתמיד של הרחבות שהולך רע.

מדוע הרחבות דפדפנים מסוכנות כל כך

קָשׁוּר: מדוע תוספות Chrome זקוקות ל"כל הנתונים שלך באתרים שבהם אתה מבקר "?

תוספי דפדפן פועלים בדפדפן האינטרנט שלך, ולעתים קרובות הם דורשים את היכולת קרא או שנה הכל בדפי האינטרנט שאתה מבקר בהם .

אם לתוסף יש גישה לכל דפי האינטרנט שבהם אתה מבקר, היא יכולה לעשות כמעט כל דבר. זה יכול לתפקד כמפתח מפתח כדי ללכוד את הסיסמאות ופרטי כרטיסי האשראי שלך, להכניס פרסומות לדפים שאתה מציג, להפנות את תעבורת החיפוש שלך למקום אחר, לעקוב אחר כל מה שאתה עושה באינטרנט - או לכל הדברים האלה. אם סיומת צריכה לסרוק את הקבלות שלך או דברים קטנים אחרים, כנראה שיש לה הרשאה לסרוק עבור הדוא"ל שלך הכל - שהוא מסוכן ביותר.

זה לא אומר שכל הרחבה הוא עושה את הדברים האלה, אבל הם פחית - וזה אמור לגרום לך להיות מאוד מאוד זהירות.

בדפדפני אינטרנט מודרניים כמו גוגל כרום ומיקרוסופט אדג 'יש מערכת הרשאות לתוספים, אך הרחבות רבות דורשות גישה לכל דבר כדי שיוכלו לעבוד כראוי. אפילו הרחבה שדורשת רק גישה לאתר אחד עלולה להיות מסוכנת. לדוגמא, הרחבה שמשנה את Google.com בדרך כלשהי תדרוש גישה לכל דבר ב- Google.com, ולכן תהיה לה גישה לחשבון Google שלך ​​- כולל הדוא"ל שלך.

אלה לא סתם כלים קטנים וחמודים ולא מזיקים. מדובר בתוכניות זעירות עם רמת גישה ענקית לדפדפן האינטרנט שלך, וזה הופך אותן למסוכנות. אפילו הרחבה שעושה דבר זעיר רק בדפי האינטרנט שאתה מבקר בהם עשויה לדרוש גישה לכל מה שאתה עושה בדפדפן האינטרנט שלך.

כיצד הרחבות בטוחות יכולות להפוך לתוכנות זדוניות

דפדפני אינטרנט מודרניים כמו Google Chrome מעדכנים אוטומטית את הרחבות הדפדפן המותקנות שלך. אם הרחבה דורשת הרשאות חדשות, היא תושבת זמנית עד שתאפשר זאת. אך, אחרת, הגרסה החדשה של התוסף תפעל עם כל אותן ההרשאות שהגירסה הקודמת קיבלה. זה מוביל לבעיות.

באוגוסט 2017, הרחבה הפופולרית והמומלצת ביותר למפתחי אתרים עבור Chrome הייתה נחטף . היזם נפל להתקפת דיוג והתוקף העלה גרסה חדשה של התוסף שהכניסה פרסומות נוספות לדפי אינטרנט. למעלה ממיליון אנשים שסמכו על המפתח של הרחבה פופולרית זו קיבלו בסופו של דבר את התוסף הנגוע. מכיוון שמדובר בתוסף עבור מפתחי אתרים, ההתקפה יכולה הייתה להיות גרועה בהרבה - לא נראה כי התוסף הנגוע תפקד כמפתח מפתח, למשל.

במצבים רבים אחרים, מישהו מפתח הרחבה שמרוויחה כמות גדולה של משתמשים, אך לא בהכרח מרוויח כסף. אל אותו מפתח פונה חברה שתשלם סכום כסף גדול לרכישת הרחבה. אם היזם מקבל את הרכישה, החברה החדשה משנה את התוסף כדי להוסיף פרסומות ומעקב, מעלה אותו לחנות האינטרנט של Chrome כעדכון, וכל המשתמשים הקיימים משתמשים כעת בתוסף של החברה החדשה - ללא שום אזהרה.

זה קרה חלקיק ליוטיוב , סיומת פופולרית להתאמה אישית של YouTube, ביולי 2017. אותו דבר קרה לתוספות רבות אחרות בעבר. מפתחי הרחבות של Chrome טענו שהם כל הזמן לקבל הצעות לקנות את התוספים שלהם. היזמים של דבש הרחבה עם למעלה מ -700,000 משתמשים שרצו פעם אחת "שאל אותי כל דבר" ברדיט , המפרט את סוג ההצעות שהם מקבלים לעיתים קרובות.

בנוסף לחטיפה ולמכירה של הרחבות, ייתכן גם שהרחבה היא רק חדשות רעות, ועוקבת אחריך בסתר כשאתה מתקין אותה מלכתחילה.

Chrome הותקף בגלל הפופולריות שלו, אך בעיה זו משפיעה על כל הדפדפנים. ניתן לטעון כי פיירפוקס נמצא בסיכון עוד יותר, מכיוון שהוא אינו משתמש במערכת הרשאות כלל - כל שלוחה שתתקין זוכה לגישה מלאה לכל דבר. ( עדכון : הצהרה זו הייתה נכונה כשכתבנו את המאמר עוד בשנת 2017, אך כעת קיימת ב- Firefox מערכת הרשאות כמו Chrome.)

כיצד למזער את הסיכון

קָשׁוּר: כיצד להסיר את ההתקנה של תוספות בדפדפני Chrome, Firefox ודפדפנים אחרים

כך תוכלו להישאר בטוחים: השתמשו בכמה שפחות תוספים. אם אין לך שימוש רב בתוסף, הסר אותו. לנסות ל חלק את רשימת התוספים המותקנים שלך רק לחיוני הדברים כדי למזער את הסיכוי שאחד מההרחבות המותקנות שלך יתקלקל.

חשוב להשתמש רק בתוספים של חברות שאתה סומך עליהן. לדוגמא, הרחבה להתאמה אישית של YouTube שנוצרה על ידי אדם אקראי שמעולם לא שמעתם עליו היא מועמדת עיקרית להפוך לתוכנה זדונית. עם זאת, הודעת Gmail הרשמית שנוצרה על ידי גוגל, הערת OneNote שלוקחת סיומת שנוצרה על ידי מיקרוסופט, או סיומת מנהל הסיסמאות LastPass שנוצרה על ידי LastPass כמעט בוודאות לא תימכר לחברה מוצלת תמורת כמה אלפי דולרים.

כדאי לשים לב גם להרחבות ההרשאות שדורשות, במידת האפשר. לדוגמה, הרחבה המתיימרת לשנות רק אתר אחד צריכה לקבל גישה לאתר זה בלבד. עם זאת, הרחבות רבות זקוקות לגישה לכל דבר, או גישה לאתר רגיש מאוד שתרצה לשמור עליו מאובטח (כמו הדוא"ל שלך). אישורים הם רעיון נחמד, אך הם אינם שימושיים מדי כאשר רוב הדברים זקוקים לגישה לכל דבר.

זה קו עדין ללכת, כמובן. בעבר אולי היינו אומרים שהתוסף למפתח אתרים היה בטוח מכיוון שהוא לגיטימי. עם זאת, היזם נפל על פיגוע פישינג והסיומת נעשתה זדונית. זו תזכורת טובה שגם אם אתה יכול לסמוך על מישהו שלא ימכור את הסיומת שלו לחברה מוצלת, אתה מסתמך על אותו אדם למען ביטחונך. אם אותו אדם יחליק ויאפשר לחטוף את חשבונו, בסופו של דבר תעסוק בתוצאות - והן עלולות להיות גרועות בהרבה ממה שקרה עם הסיומת Web Developer.