Tiện ích mở rộng trình duyệt nguy hiểm hơn nhiều so với những gì mà hầu hết mọi người nhận ra. Những công cụ nhỏ này thường có quyền truy cập vào mọi thứ bạn làm trực tuyến, vì vậy chúng có thể lấy mật khẩu của bạn, theo dõi quá trình duyệt web của bạn, chèn quảng cáo vào các trang web bạn truy cập và hơn thế nữa. Các tiện ích mở rộng trình duyệt phổ biến thường được bán cho các công ty mờ ám hoặc bị chiếm quyền điều khiển và các bản cập nhật tự động có thể biến chúng thành phần mềm độc hại.
Chúng tôi đã viết về cách tiện ích mở rộng trình duyệt của bạn theo dõi bạn trước đây, nhưng vấn đề này không được cải thiện. Vẫn có một luồng tiện ích mở rộng liên tục gặp trục trặc.
Tại sao tiện ích mở rộng trình duyệt lại nguy hiểm đến vậy
LIÊN QUAN: Tại sao tiện ích mở rộng của Chrome cần "Tất cả dữ liệu của bạn trên các trang web bạn truy cập"?
Tiện ích mở rộng trình duyệt chạy trong trình duyệt web của bạn và chúng thường yêu cầu khả năng đọc hoặc thay đổi mọi thứ trên các trang web bạn truy cập .
Nếu tiện ích mở rộng có quyền truy cập vào tất cả các trang web bạn truy cập, thì nó thực tế có thể làm bất cứ điều gì. Nó có thể hoạt động như một keylogger để nắm bắt mật khẩu và chi tiết thẻ tín dụng của bạn, chèn quảng cáo vào các trang bạn xem, chuyển hướng lưu lượng tìm kiếm của bạn đến nơi khác, theo dõi mọi thứ bạn làm trực tuyến — hoặc tất cả những thứ này. Nếu một tiện ích mở rộng cần quét biên nhận của bạn hoặc những thứ nhỏ khác, nó có thể có quyền quét email của bạn cho mọi điều —Mà cực kỳ nguy hiểm.
Điều đó không có nghĩa là mọi tiện ích mở rộng Là làm những điều này, nhưng họ có thể —Và điều đó sẽ khiến bạn rất, rất cảnh giác.
Các trình duyệt web hiện đại như Google Chrome và Microsoft Edge có hệ thống cấp phép cho các tiện ích mở rộng, nhưng nhiều tiện ích mở rộng yêu cầu quyền truy cập vào mọi thứ để chúng có thể hoạt động bình thường. Tuy nhiên, ngay cả một tiện ích mở rộng chỉ yêu cầu quyền truy cập vào một trang web cũng có thể nguy hiểm. Ví dụ: một tiện ích mở rộng sửa đổi Google.com theo một cách nào đó sẽ yêu cầu quyền truy cập vào mọi thứ trên Google.com và do đó có quyền truy cập vào tài khoản Google của bạn — bao gồm cả email của bạn.
Đây không chỉ là những công cụ nhỏ dễ thương, vô hại. Chúng là những chương trình nhỏ với mức độ truy cập lớn vào trình duyệt web của bạn và điều đó khiến chúng trở nên nguy hiểm. Ngay cả một tiện ích mở rộng chỉ thực hiện một việc nhỏ đối với các trang web bạn truy cập cũng có thể yêu cầu quyền truy cập vào mọi thứ bạn làm trong trình duyệt web của mình.
Cách tiện ích mở rộng an toàn có thể biến thành phần mềm độc hại
Các trình duyệt web hiện đại như Google Chrome tự động cập nhật các tiện ích mở rộng trình duyệt đã cài đặt của bạn. Nếu tiện ích mở rộng yêu cầu quyền mới, tiện ích sẽ tạm thời bị vô hiệu hóa cho đến khi bạn cho phép. Tuy nhiên, nếu không, phiên bản mới của tiện ích mở rộng sẽ chạy với tất cả các quyền giống như phiên bản trước đó. Điều này dẫn đến các vấn đề.
Vào tháng 8 năm 2017, tiện ích mở rộng Nhà phát triển web rất phổ biến và được đề xuất rộng rãi cho Chrome là bị cướp . Nhà phát triển đã mắc phải một cuộc tấn công lừa đảo và kẻ tấn công đã tải lên một phiên bản tiện ích mở rộng mới chèn nhiều quảng cáo hơn vào các trang web. Hơn một triệu người tin tưởng nhà phát triển của tiện ích mở rộng phổ biến này đã nhận được tiện ích mở rộng bị nhiễm độc. Vì đây là một tiện ích mở rộng dành cho các nhà phát triển web, nên cuộc tấn công có thể còn tồi tệ hơn rất nhiều — ví dụ: có vẻ như tiện ích mở rộng bị nhiễm độc hoạt động như một keylogger.
Trong nhiều tình huống khác, ai đó phát triển một tiện ích mở rộng thu hút được lượng lớn người dùng, nhưng không nhất thiết phải kiếm được tiền. Nhà phát triển đó được tiếp cận bởi một công ty sẽ trả một số tiền lớn để mua phần mở rộng. Nếu nhà phát triển chấp nhận giao dịch mua, công ty mới sẽ sửa đổi tiện ích mở rộng để chèn quảng cáo và theo dõi, tải nó lên Cửa hàng Chrome trực tuyến dưới dạng bản cập nhật và tất cả người dùng hiện tại hiện đang sử dụng tiện ích mở rộng mới của công ty — mà không có cảnh báo.
Điều này đã xảy ra với Hạt cho YouTube , một tiện ích mở rộng phổ biến để tùy chỉnh YouTube, vào tháng 7 năm 2017. Điều tương tự đã xảy ra với nhiều tiện ích mở rộng khác trong quá khứ. Các nhà phát triển tiện ích mở rộng Chrome đã tuyên bố rằng họ liên tục nhận được đề nghị để mua phần mở rộng của họ. Các nhà phát triển của Mật ong tiện ích mở rộng với hơn 700.000 người dùng sau khi chạy một “Ask Me Anything” trên Reddit , nêu chi tiết loại ưu đãi mà họ thường nhận được.
Ngoài việc chiếm đoạt và bán tiện ích mở rộng, cũng có thể tiện ích mở rộng chỉ là tin xấu và bí mật theo dõi bạn khi bạn cài đặt nó ngay từ đầu.
Chrome đã bị tấn công do tính phổ biến của nó, nhưng vấn đề này ảnh hưởng đến tất cả các trình duyệt. Firefox được cho là còn gặp nhiều rủi ro hơn, vì nó hoàn toàn không sử dụng hệ thống quyền — mọi tiện ích mở rộng bạn cài đặt đều có quyền truy cập đầy đủ vào mọi thứ. ( Cập nhật : Tuyên bố này đã đúng khi chúng tôi viết bài báo vào năm 2017, nhưng Firefox hiện có một hệ thống quyền như Chrome.)
Cách giảm thiểu rủi ro
LIÊN QUAN: Cách gỡ cài đặt tiện ích mở rộng trong Chrome, Firefox và các trình duyệt khác
Dưới đây là cách giữ an toàn: Sử dụng càng ít tiện ích mở rộng càng tốt. Nếu bạn không sử dụng được nhiều tiện ích, hãy gỡ cài đặt nó. Cố gắng lên giảm bớt danh sách các tiện ích mở rộng đã cài đặt của bạn chỉ những điều cần thiết để giảm thiểu khả năng một trong các tiện ích mở rộng đã cài đặt của bạn gặp sự cố.
Điều quan trọng nữa là chỉ sử dụng tiện ích mở rộng từ các công ty bạn tin tưởng. Ví dụ: một tiện ích mở rộng để tùy chỉnh YouTube được tạo bởi một người ngẫu nhiên mà bạn chưa từng nghe nói đến là một ứng cử viên hàng đầu để trở thành phần mềm độc hại. Tuy nhiên, Gmail Notifier chính thức do Google tạo ra, tiện ích mở rộng ghi chú OneNote do Microsoft tạo hoặc tiện ích quản lý mật khẩu LastPass do LastPass tạo gần như chắc chắn sẽ không được bán cho một công ty mờ ám với giá vài nghìn đô la.
Bạn cũng nên chú ý đến các quyền mà tiện ích mở rộng yêu cầu, khi có thể. Ví dụ: tiện ích mở rộng chỉ tuyên bố sửa đổi một trang web sẽ chỉ có quyền truy cập vào trang web đó. Tuy nhiên, nhiều tiện ích mở rộng cần quyền truy cập vào mọi thứ hoặc truy cập vào một trang web rất nhạy cảm mà bạn muốn bảo mật (như email của bạn). Quyền là một ý tưởng hay, nhưng chúng không quá hữu ích khi hầu hết mọi thứ đều cần quyền truy cập vào mọi thứ.
Tất nhiên, đó là một tuyến đường tốt để đi bộ. Trước đây, chúng tôi có thể đã nói rằng tiện ích mở rộng Nhà phát triển web là an toàn vì nó hợp pháp. Tuy nhiên, nhà phát triển đã rơi vào tình trạng tấn công lừa đảo và tiện ích mở rộng trở nên độc hại. Đó là một lời nhắc nhở hữu ích rằng, ngay cả khi bạn có thể tin tưởng ai đó không bán phần mở rộng của họ cho một công ty mờ ám, bạn đang dựa vào người đó để đảm bảo an toàn cho mình. Nếu người đó sơ suất và cho phép tài khoản của họ bị xâm nhập, bạn sẽ phải đối mặt với hậu quả — và hậu quả có thể tồi tệ hơn nhiều so với những gì đã xảy ra với tiện ích mở rộng Nhà phát triển web.
