Ekstensi browser jauh lebih berbahaya daripada yang disadari kebanyakan orang. Alat kecil ini sering kali memiliki akses ke semua yang Anda lakukan saat online, sehingga mereka dapat menangkap kata sandi Anda, melacak penjelajahan web Anda, memasukkan iklan ke dalam halaman web yang Anda kunjungi, dan banyak lagi. Ekstensi browser populer sering kali dijual ke perusahaan yang teduh atau dibajak, dan pembaruan otomatis dapat mengubahnya menjadi malware.
Kami telah menulis tentang bagaimana ekstensi browser Anda memata-matai Anda di masa lalu, tetapi masalah ini belum membaik. Masih ada aliran ekstensi yang terus-menerus menjadi buruk.
Mengapa Ekstensi Peramban Sangat Berbahaya
TERKAIT: Mengapa Ekstensi Chrome Membutuhkan "Semua Data Anda di Situs Web yang Anda Kunjungi"?
Ekstensi browser berjalan di browser web Anda, dan seringkali memerlukan kemampuan untuk itu membaca atau mengubah semua yang ada di halaman web yang Anda kunjungi .
Jika sebuah ekstensi memiliki akses ke semua halaman web yang Anda kunjungi, ia dapat melakukan apa saja. Ini bisa berfungsi sebagai keylogger untuk menangkap kata sandi dan detail kartu kredit Anda, memasukkan iklan ke halaman yang Anda lihat, mengarahkan lalu lintas pencarian Anda ke tempat lain, melacak semua yang Anda lakukan secara online — atau semua hal ini. Jika ekstensi perlu memindai tanda terima atau hal kecil lainnya, mungkin ekstensi tersebut memiliki izin untuk memindai email Anda segala sesuatu —Yang sangat berbahaya.
Itu tidak berarti bahwa setiap ekstensi adalah melakukan hal-hal ini, tetapi mereka bisa —Dan itu akan membuatmu sangat, sangat waspada.
Peramban web modern seperti Google Chrome dan Microsoft Edge memiliki sistem izin untuk ekstensi, tetapi banyak ekstensi memerlukan akses ke semuanya agar dapat berfungsi dengan baik. Bahkan ekstensi yang hanya membutuhkan akses ke satu situs web bisa berbahaya. Misalnya, ekstensi yang memodifikasi Google.com dalam beberapa cara akan memerlukan akses ke semua yang ada di Google.com, dan oleh karena itu memiliki akses ke akun Google Anda — termasuk email Anda.
Ini bukan hanya alat kecil yang lucu dan tidak berbahaya. Itu adalah program kecil dengan tingkat akses yang sangat tinggi ke browser web Anda, dan itu membuatnya berbahaya. Bahkan ekstensi yang hanya melakukan hal kecil ke halaman web yang Anda kunjungi mungkin memerlukan akses ke semua yang Anda lakukan di browser web Anda.
Bagaimana Ekstensi Aman Dapat Berubah Menjadi Malware
Peramban web modern seperti Google Chrome secara otomatis memperbarui ekstensi peramban yang Anda pasang. Jika ekstensi memerlukan izin baru, ekstensi akan dinonaktifkan untuk sementara hingga Anda mengizinkannya. Namun, jika tidak, versi baru ekstensi akan berjalan dengan semua izin yang sama dengan versi sebelumnya. Ini menyebabkan masalah.
Pada Agustus 2017, ekstensi Pengembang Web yang sangat populer dan banyak direkomendasikan untuk Chrome adalah dibajak . Pengembang jatuh karena serangan phishing, dan penyerang mengunggah versi baru dari ekstensi yang memasukkan lebih banyak iklan ke halaman web. Lebih dari satu juta orang yang mempercayai pengembang ekstensi populer ini akhirnya mendapatkan ekstensi yang terinfeksi. Karena ini adalah ekstensi untuk pengembang web, serangannya bisa jadi jauh lebih buruk — tampaknya ekstensi yang terinfeksi tidak berfungsi sebagai keylogger, misalnya.
Dalam banyak situasi lain, seseorang mengembangkan ekstensi yang mendapatkan banyak pengguna, tetapi tidak selalu menghasilkan uang. Pengembang tersebut didekati oleh perusahaan yang akan membayar sejumlah besar uang untuk membeli ekstensi. Jika pengembang menerima pembelian, perusahaan baru memodifikasi ekstensi untuk memasukkan iklan dan pelacakan, mengunggahnya ke Toko Web Chrome sebagai pembaruan, dan semua pengguna yang ada sekarang menggunakan ekstensi perusahaan baru — tanpa peringatan.
Ini terjadi Partikel untuk YouTube , ekstensi populer untuk menyesuaikan YouTube, pada Juli 2017. Hal yang sama telah terjadi pada banyak ekstensi lainnya di masa lalu. Pengembang ekstensi Chrome telah mengklaimnya terus menerima tawaran untuk membeli ekstensi mereka. Pengembang Madu ekstensi dengan lebih dari 700.000 pengguna pernah menjalankan “Ask Me Anything” di Reddit , merinci jenis penawaran yang sering mereka terima.
Selain pembajakan dan penjualan ekstensi, mungkin juga ekstensi hanyalah berita buruk, dan secara diam-diam melacak Anda saat Anda menginstalnya.
Chrome telah diserang karena popularitasnya, tetapi masalah ini memengaruhi semua browser. Firefox bahkan lebih berisiko, karena tidak menggunakan sistem izin sama sekali — setiap ekstensi yang Anda pasang mendapatkan akses penuh ke semuanya. ( Update : Pernyataan ini benar ketika kami menulis artikel pada tahun 2017, tetapi Firefox sekarang memiliki sistem izin seperti Chrome.)
Bagaimana Meminimalkan Resiko
TERKAIT: Cara Menghapus Instalasi Ekstensi di Chrome, Firefox, dan Peramban Lain
Berikut ini cara agar tetap aman: Gunakan ekstensi sesedikit mungkin. Jika Anda tidak banyak memanfaatkan ekstensi, copot pemasangannya. Mencoba untuk kurangi daftar ekstensi yang diinstal hanya ke hal-hal penting untuk meminimalkan kemungkinan salah satu ekstensi yang dipasang menjadi buruk.
Penting juga untuk hanya menggunakan ekstensi dari perusahaan yang Anda percaya. Misalnya, ekstensi untuk menyesuaikan YouTube yang dibuat oleh orang acak yang belum pernah Anda dengar adalah kandidat utama untuk menjadi malware. Namun, Gmail Notifier resmi yang dibuat oleh Google, ekstensi pencatatan OneNote yang dibuat oleh Microsoft, atau ekstensi pengelola kata sandi LastPass yang dibuat oleh LastPass hampir pasti tidak akan dijual ke perusahaan teduh dengan harga beberapa ribu dolar.
Anda juga harus memperhatikan ekstensi izin yang diperlukan, jika memungkinkan. Misalnya, ekstensi yang hanya mengklaim mengubah satu situs web seharusnya hanya memiliki akses ke situs web itu. Namun, banyak ekstensi memerlukan akses ke semuanya, atau akses ke situs web yang sangat sensitif yang ingin Anda jaga keamanannya (seperti email Anda). Izin adalah ide yang bagus, tetapi tidak terlalu berguna ketika banyak hal membutuhkan akses ke semuanya.
Ini jalur yang bagus untuk dilalui, tentu saja. Di masa lalu, kami mungkin telah mengatakan bahwa ekstensi Pengembang Web aman karena sah. Namun, pengembang jatuh karena serangan phishing dan ekstensi menjadi berbahaya. Ini adalah pengingat yang baik bahwa, meskipun Anda dapat mempercayai seseorang untuk tidak menjual ekstensi mereka ke perusahaan yang teduh, Anda mengandalkan orang tersebut untuk keamanan Anda. Jika orang itu tergelincir dan membiarkan akunnya dibajak, pada akhirnya Anda akan menanggung akibatnya — dan mereka bisa menjadi jauh lebih buruk daripada yang terjadi dengan ekstensi Pengembang Web.
