浏览器扩展是一个隐私的噩梦:停止使用它们的许多

浏览器扩展比大多数人意识到的要危险得多。 这些小工具通常可以访问您在网上做的所有事情,这样他们就可以捕获您的密码,跟踪您的网页浏览,将广​​告插入到您访问的网页中,等等。 流行的浏览器扩展通常卖给阴暗的公司或被劫持,而自动更新可以将它们变成恶意软件。

我们已经写过关于您的浏览器扩展在过去如何监视您的问题,但是这个问题没有得到改善。 仍然有不断的扩展不好。

为什么浏览器扩展是如此危险

浏览器扩展在您的网络浏览器中运行,并且他们通常需要读取或更改您访问的网页上的所有内容

如果一个扩展可以访问你访问的所有网页,它可以做任何事情。 它可以作为一个键盘记录功能来捕获你的密码和信用卡的详细信息,插入广告到你查看的网页,重定向到其他地方的搜索流量,跟踪你在网上做的一切,或所有这些事情。 如果扩展需要扫描您的收据或其他小东西,它可能有权限扫描您的电子邮件的一切 - 这是非常危险的。

这并不意味着每一个扩展在做这些事情,但是它们可以 - 而且这会让你非常非常谨慎。

像谷歌浏览器和微软边缘等现代网络浏览器有扩展权限系统,但许多扩展需要访问的一切,以便他们可以正常工作。 即使只是需要访问一个网站的扩展可能是危险的,但是。 例如,以某种方式修改Google.com的扩展程序需要访问Google.com上的所有内容,才能访问您的Google帐户(包括您的电子邮件)。

这些不只是可爱,无害的小工具。 他们是一个很小的程序,访问您的网络浏览器的程度非常高,这使得他们很危险。 即使只是对您访问的网页做了次要事情的扩展,也可能需要访问您在网络浏览器中执行的所有操作。

安全扩展如何转化为恶意软件

Google Chrome等现代网络浏览器会自动更新您安装的浏览器扩展程序。 如果扩展程序需要新的权限,它将暂时停用,直到您允许为止。 但是,否则,新版本的扩展将运行与以前的版本所具有的所有相同的权限。 这导致问题。

2017年8月,非常受欢迎且被广泛推荐的Chrome浏览器扩展程序被劫持 开发者因为钓鱼攻击而下落不明,攻击者上传了一个新版本的扩展插件,在网页中插入了更多的广告。 超过一百万人信任这个受欢迎的扩展的开发人员最终得到感染的扩展。 由于这是Web开发人员的扩展,所以攻击可能会变得更糟 - 例如,受感染的扩展程序看起来并不像键盘记录程序那样工作。

在许多其他情况下,有人开发了获得大量用户的扩展,但不一定赚钱。 那个开发者会被一个会花大笔钱来购买扩展的公司所接触。 如果开发者接受了购买,那么新公司会修改扩展程序以插入广告和跟踪,并将其作为更新上传到Chrome网上应用店,所有现有用户现在都在使用新公司的扩展程序,而不会有任何警告。

这种情况发生在2017年7月发行的用于定制YouTube的流行扩展YouTube上的“粒子(Particle for YouTube)”中。过去也发生过许多其他扩展。 Chrome扩展程序开发者声称,他们不断收到购买扩展程序的提议 拥有超过70万用户的Honey扩展的开发者曾经在Reddit上跑过“Ask Me Anything” ,详细介绍了他们经常收到的优惠。

除了劫持和销售扩展外,扩展只是一个坏消息,当你安装它的时候,也会偷偷跟踪你。

Chrome由于受欢迎而受到攻击,但是这个问题会影响所有的浏览器。 火狐可能更具风险,因为它根本不使用权限系统 - 每个安装的扩展程序都可以完全访问所有内容。

如何最大限度地降低风险

以下是如何保持安全:使用尽可能少的扩展名。 如果你没有得到很多的使用扩展,卸载它。 尝试削减您的安装的扩展名列表只是为了尽量减少您的安装扩展坏的机会。

仅使用您所信任的公司的扩展也很重要。 例如,由您从未听说过的随机人员创建的用于自定义YouTube的扩展程序是成为恶意软件的主要候选者。 但是,由Google创建的官方Gmail通知程序,OneNote记录由微软创建的扩展程序或由LastPass创建的LastPass密码管理器扩展程序几乎肯定不会以几千美元的价格出售给黑幕公司。

在可能的情况下,您还应该注意扩展需求。 例如,只声称修改一个网站的扩展应该只能访问该网站。 但是,许多扩展需要访问所有内容,或访问您想保持安全的非常敏感的网站(如电子邮件)。 权限是一个好主意,但是当大多数事情需要访问所有内容时,它们并不是很有用。

当然,这是一条很好的路线。 在过去,我们可能会说Web Developer扩展是安全的,因为它是合法的。 但是,开发者因为钓鱼攻击而堕落,并且恶意扩展。 这是一个很好的提醒,即使你可以相信某人不把他们的扩展卖给一个阴暗的公司,你依靠这个人来保证你的安全。 如果这个人滑倒,并允许他们的帐户被劫持,你最终会处理的后果 - 他们可能会比Web开发扩展发生的事情更糟糕。

为什么浏览器扩展可能是危险的,以及如何保护自己

malicious-browser-extensions

浏览器扩展是在Web浏览器中运行的代码片段。 他们可以做恶意的事情,如展示广告,跟踪您的浏览,并捕获您的密码和私人数据。 安全扩展程序可能会自动更新并成为恶意软件。

Chrome在安装扩展程序时会使用其权限请求对话框突出显示此问题,但这是所有浏览器的问题。 所有的Firefox附件都有他们需要的访问,导致麻烦。

浏览器扩展的问题

当您安装一个浏览器扩展 ,从像Chrome网上应用店或Mozilla附加组件网站,安装的是一段代码,Web浏览器中运行。

Chrome尝试使用权限系统向您发出警告,但即使是小型,简单的加载项也需要很多权限。 例如,如果附件需要以极小的方式修改网页的权限,它需要能够“访问所有网站上的数据”。这是因为附件通过将代码注入到您访问的网页中运行。

chrome-extension-install-access-your-data-on-all-websites

没有绕过这些问题。 捕获密码的能力是必不可少的,例如像LastPass这样的扩展可以运行。 没有能力转换网页,许多扩展根本无法工作 - 但是这种对网页的访问允许他们插入广告和跟踪脚本。

Mozilla Firefox和其他网络浏览器不一定会警告您,加载项可以访问您在网络上访问的一切,但是您在这些浏览器中安装的加载项确实具有访问权限。 您在Firefox中安装的每个加载项都作为浏览器的一部分运行,如果它选择,可以做恶劣的事情。

firefox-add-on-install-warning

安全附件可以变成恶意软件

许多附加组件不是由大公司生产的。 它们通常是个人为了自己搔痒并向公众发布而做的小工具。 这些附加组件可能完全安全,当您安装它们。

然而,有几家公司从他们的创作者那里提供几千美元的购买附加组件。 这可能是诱人的人谁没有从附加的任何收入,甚至可能不再关心它了。 该公司然后控制该附加组件,并修改它添加跟踪脚本,广告和任何他们喜欢的。 您的Web浏览器会自动将插件更新到最新版本,并且该插件开始滥用其对浏览器的访问权限。 如果扩展程序之前已经请求过这些权限,则在此类更新后不需要请求任何新权限。

我们涵盖了各种的被购买并改变插入额外的广告到网页中的Chrome扩展程序 其中一些恶意扩展程序目前仍在Chrome网上应用店中。 如果一个更恶意的公司获得了扩展,他们可以改变他们从网上银行网站获取密码和从网上购物网站的信用卡号。

降低风险

安装浏览器扩展程序类似于在计算机上安装应用程序。 你应该评估扩展名是多么值得信赖 ,就像你,如果你安装一个程序。 当然,这些扩展可以自动更新并销售给不太可信的所有者,所以扩展可能会变坏,即使现在很好。

与服务相关的公司所进行的官方扩展应该具有较低的风险。 换句话说,Google的额外资讯可能比您从未听说过的人所做的额外资讯更安全。 另一个例子,让我们假设你使用Pocket并且想要一个扩展,可以一键添加网页到Pocket。 你应该安装官方Pocket扩展,而不是第三方。

chrome-official-vs-unofficial-pocket-extensions

您可能还需要考虑使用书签工具 ,而不是附加组件。 例如,发现包含恶意软件的Chrome扩展程序中有两个是“添加到Feedly”和“Tweet This Page”按钮。 您不需要使用完整的扩展程序 - 您可以通过点击浏览器书签栏上的按钮轻松使用书签来获取此功能。 Bookmarklet由一小段可以检查的代码组成,它们不能自动更新,它们只会在您单击书签以加载它时才会在页面上运行。

install-and-use-a-bookmarklet

请注意扩展程序收到的安装次数和评论数。 一个扩展,用户很少,几乎没有评论,或负面评论是你应该避免的东西。 另一方面,具有大量用户,积极评价和良好口碑的扩展更安全。

这不总是工作,不幸的是。 Chrome的Hover Zoom扩展程序包含恶意代码,但它有4星级评分和超过100万用户。 它有许多积极的书面评论,似乎不知道它的问题,虽然你会发现恶意软件的报告,如果你浏览评论。

hover-zoom-malware


有一件事是肯定的:你应该谨慎安装的浏览器扩展。 如果你有30个扩展安装,从不使用其中许多,你应该尽可能多的摆脱。 你安装的每个扩展增加了你以后会有一些麻烦的几率。 这并不意味着你不应该安装扩展,如果他们对你有用,但在你这样做时记住风险。

扩展程序还可以减缓您的网络浏览,因此使用最小的附加组件集合也将有助于加快您的浏览器。

赞 (0)
分享到:更多 ()