Browser Extensions är en sekretessmardröm: Sluta använda så många av dem

Innehållsförteckning:

Video: Browser Extensions är en sekretessmardröm: Sluta använda så många av dem

Video: Browser Extensions är en sekretessmardröm: Sluta använda så många av dem
Video: Кемпинг под дождем у лесного ручья с собакой - Дождь ASMR 2024, Mars
Browser Extensions är en sekretessmardröm: Sluta använda så många av dem
Browser Extensions är en sekretessmardröm: Sluta använda så många av dem
Anonim
Browserutvidgningar är mycket farligare än de flesta inser. Dessa små verktyg har ofta tillgång till allt du gör online, så att de kan fånga dina lösenord, spåra din webbläsning, infoga annonser i webbsidor du besöker och mer. Populära webbläsartillägg säljs ofta till skuggiga företag eller kapas, och automatiska uppdateringar kan göra dem till skadliga program.
Browserutvidgningar är mycket farligare än de flesta inser. Dessa små verktyg har ofta tillgång till allt du gör online, så att de kan fånga dina lösenord, spåra din webbläsning, infoga annonser i webbsidor du besöker och mer. Populära webbläsartillägg säljs ofta till skuggiga företag eller kapas, och automatiska uppdateringar kan göra dem till skadliga program.

Vi har skrivit om hur dina webbläsartillägg spionerar på dig tidigare, men det här problemet har inte förbättrats. Det är fortfarande en konstant ström av förlängningar som går dåligt.

Varför Browser Extensions är så farliga

Webbläsarutvidgningar körs i din webbläsare, och de kräver ofta möjlighet att läsa eller ändra allt på webbsidor du besöker.

Om ett tillägg har tillgång till alla webbsidor du besöker kan det göra så gott som någonting. Det kan fungera som en keylogger för att fånga dina lösenord och kreditkortsuppgifter, infoga annonser i sidorna du visar, omdirigera din söktrafik någon annanstans, spåra allt du gör online - eller alla dessa saker. Om en förlängning behöver skanna din för kvitton eller andra små saker, har det förmodligen tillåtelse att skanna din e-post tillallt-Som är extremt farligt

Det betyder inte att varje förlängningär gör dessa saker, men dekan-Och det borde göra dig väldigt väldigt försiktig.

Moderna webbläsare som Google Chrome och Microsoft Edge har ett tillståndssystem för tillägg, men många tillägg kräver åtkomst till allt så att de kan fungera ordentligt. Även en förlängning som bara kräver åtkomst till en webbplats kan vara farlig. En tillägg som ändrar Google.com på något sätt kräver till exempel tillgång till allt på Google.com och har därför tillgång till ditt Google-konto, inklusive din e-postadress.

Dessa är inte bara söta, ofarliga små verktyg. De är små program med stor tillgång till din webbläsare, och det gör dem farliga. Även en förlängning som bara gör en mindre sak åt webbsidor du besöker kan kräva tillgång till allt du gör i din webbläsare.

Hur säkra tillägg kan omvandlas till skadlig kod

Moderna webbläsare som Google Chrome uppdaterar automatiskt dina installerade webbläsartillägg. Om en förlängning kräver nya behörigheter kommer den tillfälligt att stängas av tills du tillåter det. Men annars kommer den nya versionen av tillägget att köras med samma behörigheter som den tidigare versionen gjorde. Detta leder till problem.
Moderna webbläsare som Google Chrome uppdaterar automatiskt dina installerade webbläsartillägg. Om en förlängning kräver nya behörigheter kommer den tillfälligt att stängas av tills du tillåter det. Men annars kommer den nya versionen av tillägget att köras med samma behörigheter som den tidigare versionen gjorde. Detta leder till problem.

I augusti 2017 kapades den mycket populära och allmänt rekommenderade webbutvecklaren till Chrome. Utvecklaren föll för en phishing-attack, och angriparen laddade upp en ny version av tillägget som satte in fler annonser på webbsidor. Över en miljon människor som litade på utvecklaren av den här populära utökningen hamnade på den smittade förlängningen. Eftersom det här är en förlängning för webbutvecklare, kan attacken ha varit mycket värre - det verkar inte som att den infekterade tillägget fungerade som en keylogger, till exempel.

I många andra situationer utvecklar någon en förlängning som ger en stor mängd användare, men gör inte nödvändigtvis några pengar. Den utvecklaren kontaktas av ett företag som kommer att betala en stor summa för att köpa förlängningen. Om utvecklaren accepterar köpet ändrar det nya företaget utökningen för att infoga annonser och spårning, överför den till Chrome Web Store som en uppdatering och alla befintliga användare använder nu det nya företagets tillägg utan varning.

Detta hände med Particle for YouTube, en populär förlängning för anpassning av YouTube, i juli 2017. Samma sak har hänt med många andra tillägg tidigare. Utvecklare av Chrome-förlängningar har hävdat att de ständigt får erbjudanden för att köpa sina tillägg. Utvecklarna av Honey-förlängningen med över 700 000 användare reste en gång på "Ask Me Anything" på Reddit, som beskriver vilken typ av erbjudanden de ofta får.

Förutom kapningen och försäljningen av tillägg är det också möjligt att en förlängning bara är dålig nyhet och spårar dig i hemlighet när du installerar den i första hand.

Chrome har attackerats på grund av dess popularitet, men det här problemet påverkar alla webbläsare. Firefox är antagligen ännu mer i fara, eftersom det inte använder något tillståndssystem alls - varje förlängning du installerar får full tillgång till allt.

Hur minimerar risken

Så här är du säker: Använd så få tillägg som möjligt. Om du inte använder mycket av en förlängning, avinstallera den. Försök att para ner din lista med installerade tillägg till bara de viktigaste sakerna för att minimera chansen att en av dina installerade tillägg går fel.
Så här är du säker: Använd så få tillägg som möjligt. Om du inte använder mycket av en förlängning, avinstallera den. Försök att para ner din lista med installerade tillägg till bara de viktigaste sakerna för att minimera chansen att en av dina installerade tillägg går fel.

Det är också viktigt att bara använda tillägg från företag du litar på. Till exempel är en förlängning för anpassning av YouTube skapad av en slumpmässig person som du aldrig hört talas om en viktig kandidat för att bli skadlig programvara. Den officiella Gmail Notifier skapad av Google, OneNote notering med förlängning skapad av Microsoft, eller LastPass lösenordsansvarig förlängning skapad av LastPass kommer nästan säkert inte att säljas till ett skuggigt företag för några tusen dollar.

Du bör också vara uppmärksam på de tillståndsförlängningar som krävs när det är möjligt.Till exempel bör en förlängning som endast hävdar att du ändrar en webbplats endast ha tillgång till den webbplatsen. Men många tillägg behöver tillgång till allt, eller tillgång till en mycket känslig webbplats som du vill behålla säker (som din e-post). Tillstånd är en bra idé, men de är inte så användbara när de flesta saker behöver tillgång till allt.

Det är en bra linje att gå, förstås. Tidigare kunde vi ha sagt att webbutvecklarutvidgningen var säker på grund av att den var legitim. Utvecklaren föll dock för en phishing-attack och förlängningen blev skadlig. Det är en bra påminnelse om att även om du kunde lita på någon att inte sälja förlängningen till ett skuggigt företag, lita du på den personen för din säkerhet. Om den personen slår upp och tillåter att deras konto kapas, kommer du sluta hantera konsekvenserna - och de kan vara mycket värre än vad som hände med webbutvecklaren.

Rekommenderad: