Rozšírenia prehliadača sú nočná mora v oblasti ochrany osobných údajov, ktorá ich prestáva používať
Rozšírenia prehliadača sú oveľa nebezpečnejšie, než si väčšina ľudí uvedomuje. Tieto malé nástroje majú často prístup ku všetkému, čo robíte on-line, aby mohli zachytiť vaše heslá, sledovať prehliadanie webových stránok, vložiť reklamy na webové stránky, ktoré navštevujete a ďalšie. Populárne rozšírenia prehliadača sa často predávajú do tienistých firiem alebo únoscov a automatické aktualizácie ich môžu premeniť na škodlivý softvér.
Napísali sme o tom, ako vás vaše rozšírenia prehliadača v minulosti špehujú, ale tento problém sa nezlepšil. Stále je stále neustály tok rozšírení.
Prečo sú rozšírenia prehliadača tak nebezpečné
Rozšírenia prehliadača sa zobrazujú vo vašom webovom prehliadači a často vyžadujú možnosť čítať alebo meniť všetko na navštívených webových stránkach.
Ak má rozšírenie prístup ku všetkým navštíveným webovým stránkam, môže to urobiť prakticky čokoľvek. Mohlo by to fungovať ako keylogger na zachytenie hesiel a detailov kreditných kariet, vloženie reklám do zobrazených stránok, presmerovanie vyhľadávacích návštev na inom mieste, sledovanie všetkého, čo robíte on-line, alebo všetky tieto veci. Ak rozšírenie potrebuje skenovať vaše príjmy alebo iné malé veci, pravdepodobne má povolenie skenovať váš e-mail všetko-čo je mimoriadne nebezpečné.
To neznamená, že každé rozšírenie je robia tieto veci, ale oni môcť-a to by vás malo veľmi, veľmi opatrné.
Moderné webové prehliadače, ako sú prehliadače Google Chrome a Microsoft Edge, majú systém povolení pre rozšírenia, ale mnohé rozšírenia vyžadujú prístup k všetkým, aby mohli fungovať správne. Dokonca aj rozšírenie, ktoré len vyžaduje prístup na jednu webovú stránku, môže byť nebezpečné. Napríklad rozšírenie, ktoré modifikuje Google.com nejakým spôsobom, bude vyžadovať prístup k všetkému na stránkach Google.com, a preto bude mať prístup k vášmu účtu Google - vrátane vášho e-mailu.
Nie sú to len roztomilé, neškodné malé nástroje. Sú to maličké programy s obrovským prístupom k vášmu internetovému prehliadaču, čo je nebezpečné. Dokonca aj rozšírenie, ktoré na webových stránkach, ktoré navštívite, len málo, môže vyžadovať prístup ku všetkému, čo robíte vo svojom webovom prehliadači.
Ako bezpečné rozšírenia môžu premeniť na škodlivý softvér
Moderné webové prehliadače, ako je prehliadač Google Chrome, automaticky aktualizujú vaše nainštalované rozšírenia prehliadača. Ak rozšírenie vyžaduje nové povolenia, bude dočasne deaktivované, kým to nepovolíte. V opačnom prípade bude nová verzia rozšírenia spustená so všetkými rovnakými oprávneniami, ako tomu bolo v predchádzajúcej verzii. To vedie k problémom.
V auguste 2017 bolo veľmi unavené a veľmi rozšírené rozšírenie pre vývojárov prehliadača Chrome zakázané. Vývojár padol na phishingový útok a útočník odovzdal novú verziu rozšírenia, ktorá vložila viac reklám do webových stránok. Viac ako milión ľudí, ktorým dôverovala vývojárovi tohto populárneho rozšírenia, sa dostalo k infikovanej rozšíreniu. Keďže toto je rozšírenie pre webových vývojárov, útok by mohol byť oveľa horší - nezdá sa, že infikované rozšírenie fungovalo ako keylogger, napríklad.
V mnohých iných situáciách niekto vyvíja rozšírenie, ktoré získa veľké množstvo používateľov, ale nemusí nutne robiť žiadne peniaze. Tento vývojár je oslovený spoločnosťou, ktorá bude platiť veľké množstvo peňazí na nákup rozšírenia. Ak vývojár akceptuje nákup, nová spoločnosť upraví rozšírenie tak, aby vkladala reklamy a sledovanie, odovzdáva ju do Internetového obchodu Chrome ako aktualizácia a všetci existujúci používatelia teraz používajú rozšírenie novej spoločnosti - bez upozornenia.
Toto sa stalo v júli 2017 v Particle for YouTube, populárnom rozšírení pre prispôsobenie služby YouTube. Rovnako sa to stalo aj v minulosti s mnohými ďalšími rozšíreniami. Vývojári rozšírení Chrome tvrdili, že neustále dostávajú ponuky na kúpu svojich rozšírení. Vývojári rozšírenia Honey s viac ako 700 000 používateľmi raz spustili na stránke Reddit "Opýtajte sa čokoľvek" a podrobne opisujú druh ponúk, ktoré často dostávajú.
Okrem únosu a predaja rozšírení je tiež možné, že rozšírenie je zlé správy a tajne vás sleduje, keď ho nainštalujete na prvom mieste.
Chrome bol napadnutý kvôli jeho popularite, ale tento problém má vplyv na všetky prehliadače. Firefox je pravdepodobne ešte viac ohrozený, pretože vôbec nepoužíva systém povolení - každé rozšírenie, ktoré inštalujete, má plný prístup ku všetkému.
Ako minimalizovať riziko
Tu je návod, ako zostať v bezpečí: používajte čo najmenej rozšírení. Ak z rozšírenia nezískate veľa využitia, odinštalujte ho. Pokúste sa zhrnúť zoznam vašich nainštalovaných rozšírení na najdôležitejšie, aby ste minimalizovali možnosť, že niektorá z vašich nainštalovaných rozšírení bude zle.
Je tiež dôležité používať iba rozšírenia od spoločností, ktorým dôverujete. Napríklad rozšírenie na prispôsobenie služby YouTube vytvorené náhodnou osobou, o ktorej ste nikdy nepočuli, je hlavným kandidátom na získanie malware. Avšak oficiálny Gmail Notifier vytvorený spoločnosťou Google, poznámka OneNote, ktorá má rozšírenie vytvorenú spoločnosťou Microsoft, alebo rozšírenie LastPass pre správcu hesiel vytvorené spoločnosťou LastPass, sa takmer určite nebude predávať tienistému podniku za niekoľko tisíc dolárov.
Mali by ste tiež venovať pozornosť požiadavkám na rozšírenie povolení, ak je to možné. Napríklad rozšírenie, ktoré požaduje iba úpravu jednej webovej stránky, by malo mať prístup k tejto webovej lokalite. Mnohé rozšírenia však potrebujú prístup ku všetkým, alebo prístup k veľmi citlivým webovým stránkam, ktoré chcete zabezpečiť (ako je vaša e-mailová adresa). Povolenia sú pekný nápad, ale nie sú príliš užitočné, keď väčšina vecí potrebuje prístup ku všetkému.
Je samozrejme dobrá trasa. V minulosti sme možno povedali, že rozšírenie Web Developer bolo bezpečné, pretože bolo legitímne. Vývojár však padol na phishingový útok a rozšírenie sa stalo škodlivým. Je to dobrá pripomienka, že aj keby ste mohli dôverovať tomu, že niekto nebude predávať svoje rozšírenie na tienistú spoločnosť, spoliehate sa na túto osobu pre vašu bezpečnosť. Ak sa táto osoba skĺzne a povolí, aby bol účet zabavený, skončíte s týmito následkami - a mohli by byť oveľa horšie ako to, čo sa stalo s rozšírením Web Developer.