Ձեր սիրելի դիտարկիչի ընդլայնումը կարող է գողանալ ձեր գաղտնաբառերը

Բովանդակություն:

Ձեր սիրելի դիտարկիչի ընդլայնումը կարող է գողանալ ձեր գաղտնաբառերը
Ձեր սիրելի դիտարկիչի ընդլայնումը կարող է գողանալ ձեր գաղտնաբառերը
Anonim

Հիմնական տանողներ

  • Chrome Web Store-ի ընդլայնումների մեծ մասը պահանջում է վտանգավոր թույլտվություններ, որոնք կարող են չարաշահվել վնասակար նպատակներով:
  • Բոլոր վեբ բրաուզերները փորձում են լուծել անբարոյական ընդլայնումների խնդիրը:
  • Google's Manifest V3-ը նման լուծումներից մեկն է, որը լուծում է որոշ խնդիրներ, սակայն քիչ է տիրում ընդլայնումների համար հասանելի թույլտվություններին:
Image
Image

Հիշու՞մ եք ուղղագրության ստուգման բրաուզերի ընդլայնումը, որը թույլտվություն էր պահանջում կարդալու և վերլուծելու այն ամենը, ինչ գրում եք: Կիբերանվտանգության փորձագետները զգուշացնում են, որ մեծ հավանականություն կա, որ որոշ ընդլայնումներ չարաշահում են ձեր համաձայնությունը՝ գողանալու գաղտնաբառերը, որոնք դուք մուտքագրում եք վեբ բրաուզերի մեջ:

Օգտատերերին օգնելու հասկանալ վեբ ընդլայնումների վտանգները, թվային անվտանգության Talon ընկերությունը վերլուծել է Chrome Web Store-ը՝ հայտնելով, որ տասնյակ հազարավոր ընդլայնումներ հասանելի են անհանգստացնող թույլտվություններին, օրինակ՝ բոլոր այցելած կայքերի տվյալները փոխելու հնարավորությունը:, ներբեռնեք ֆայլեր, մուտք գործեք ներբեռնման գործողություն և ավելին։

«Շատ հանրաճանաչ ընդլայնումներ օգտատերերին վտանգի տակ են դնում»,- Lifewire-ին էլփոստով բացատրել է Talon Cyber Security-ի համահիմնադիր և CTO Օհադ Բոբրովը: «[Նույնիսկ] բարենպաստ ընդլայնումները կարող են խոցելիություններ ունենալ իրենց ծածկագրում կամ մատակարարման շղթայում և կարող են ենթակա լինել չարամիտ խաղացողների կողմից տիրանալու»:

Wayward Extensions

Image
Image

Talon-ը պնդում է, որ ընդլայնումները մեծ արժեք են առաջարկում իրենց օգտատերերին և վեբ բրաուզերներին բերում են մի շարք օգտակար հատկություններ, ինչպիսիք են գովազդի արգելափակումը, ուղղագրության ստուգումը, գաղտնաբառի կառավարումը և այլն: Այնուամենայնիվ, այս գործառույթները բերելու համար ընդլայնումները պահանջում են լայն թույլտվություններ՝ փոփոխելու բրաուզերը, նրա վարքագիծը և այցելած կայքերը:

«Բնականաբար, երրորդ կողմի դերակատարների կողմից վերահսկողության և հասանելիության այս մակարդակը կարող է զգալի սպառնալիքներ ստեղծել օգտատերերի համար անվտանգության և գաղտնիության համար», - բացատրեց Թալոնը:

Ընկերությունը ավելացնում է, որ չնայած Google-ի ստուգման գործընթացին, շատ վնասակար ընդլայնումներ կարողանում են սայթաքել բացերը և վերջապես բացասաբար ազդել միլիոնավոր օգտատերերի վրա: Դրա վերլուծությունը ցույց տվեց, որ Chrome Web Store-ի բոլոր ընդլայնումների ավելի քան 60%-ը թույլտվություն ունի կարդալու կամ փոխելու օգտատիրոջ տվյալները և գործունեությունը:

Օրինակ, Թալոնն ասում է, որ ուղղագրության և քերականության ստուգիչները թույլտվություն են պահանջում ներարկել վեբ էջի համատեքստից օգտվողի տեքստը վերլուծելու համար նախատեսված սցենարներ: Նրանք սովորաբար դա անում են՝ ստուգելով մուտքագրման դաշտերը կամ գրանցելով օգտվողի ստեղնաշարերը այլ միջոցներով: Ընկերությունն ասում է, որ սա արդյունավետորեն թույլ է տալիս ընդլայնումներին հավաքել և գաղտնազերծել վեբ էջի ցանկացած տեղեկատվություն, ներառյալ գաղտնաբառերը և այլ զգայուն տվյալներ:

Այնուհետև կա գովազդի արգելափակում, որը կազմում է Chrome Web Store-ի լավագույն ընդլայնումները: Այս գործառույթը ներառում է տարրերի հեռացում էջից և պահանջում է նույն թույլտվությունները, ինչ ուղղագրիչները:

Անհայտ է, թե ինչ տվյալներ են արտահանվել, բայց այն կարող էր որևէ բան գողանալ ցանկացած էջից, ներառյալ գաղտնաբառերը:

Նույնպես, թույլտվությունները, որոնք տրված են էկրանի համօգտագործմանը և տեսա-կոնֆերանսի ընդլայնումներին՝ իրենց նպատակային առաջադրանքը կատարելու համար, կարող են նաև չարաշահվել օգտատիրոջ էկրանն ու ձայնը գրավելու համար:

«Վերջին մի քանի ամիսների ընթացքում երկու խոցելիություն է հայտնաբերվել uBlock Origin-ում, որոնք հարձակվողներին թույլ են տվել օգտագործել ընդլայնման թույլտվությունը՝ կարդալու և փոխելու բոլոր կայքերի տվյալները և գողանալու օգտատերերի զգայուն տվյալները», - ասաց Բոբրովը::

«Գովազդի արգելափակիչները, ինչպիսիք են uBlock Origin-ը, չափազանց տարածված են և սովորաբար հասանելի են յուրաքանչյուր էջ, որն այցելում է օգտատերը: Կուլիսից հետո դրանք գործում են համայնքի կողմից տրամադրված ֆիլտրերի ցուցակներով. CSS ընտրիչներ, որոնք թելադրում են, թե որ տարրերն արգելափակել: ցուցակները լիովին վստահելի չեն, ուստի դրանք սահմանափակված են՝ կանխելու վնասակար կանոնները օգտվողի տվյալները գողանալուց»,- գրել է անվտանգության հետազոտող Գարեթ Հեյսը, երբ նա ցույց է տվել, որ օգտագործելով ընդլայնման խոցելիությունը՝ գաղտնաբառերը գողանալու համար:

Բոբրովը նաև կիսվել է, որ 2019 թվականին հանրահայտ The Great Suspender ընդլայնումը, որն ուներ ավելի քան երկու միլիոն օգտատեր, գնվել է չարամիտ դերասանի կողմից, ով շարունակել է օգտագործել դրա թույլտվությունները՝ սցենարներ ներարկելու համար՝ չստուգված, հեռակառավարվող կոդ գործարկելու համար։ վեբ էջերում։

«Անհայտ է, թե ինչ տվյալներ են գաղտնազերծվել», - ասաց նա, «բայց այն կարող էր գողանալ որևէ բան ցանկացած էջից, ներառյալ գաղտնաբառերը»:

Իրական լուծում չկա

Image
Image

Բոբրովն ասում է, որ Chrome-ը և գրեթե բոլոր մյուս առաջատար վեբ բրաուզերներն աշխատում են զսպելու ընդլայնումների հետևանքով առաջացած անվտանգության ռիսկը, ոչ միայն բարելավելով դրանց ստուգման գործընթացը, այլ նաև սահմանափակելով ընդլայնումների որոշ հնարավորություններ:

Նման վերջին քայլերից մեկը, որը Բոբրովը նշում է, Google-ի Manifest V3-ն է: Նա ասում է, որ սովորական օգտագործողի համար Manifest V3-ի առավել նկատելի տարբերությունը, որը կբերի ընդարձակման, հեռակա հոսթինգի կոդի ամբողջական արգելքն է և վեբ հարցումները փոփոխելու ընդլայնումների ձևի փոփոխությունը:Այնուամենայնիվ, նա ավելացնում է, որ բացասական կողմում Manifest V3-ը քննադատության է ենթարկվել գովազդային արգելափակողներին խստորեն խոչընդոտելու համար:

«Ամենակարևոր միտումներն են անվտանգության բացերը փակելը, վերջնական օգտատերերի տեսանելիության և վերահսկողության բարձրացումը (օրինակ՝ որ կայքերն են թույլ տալիս ընդլայնումների գործարկումը) և ընդլայնումներից չվերանայվող կոդի արգելումը», - ասաց Բոբրովը: «Այս փոփոխություններից որոշները ներառված են Google-ի Manifest V3-ում: Այնուամենայնիվ, այս փոփոխություններից և ոչ մեկը կտրուկ չի փոխում ընդլայնումների համար հասանելի թույլտվությունները: «

Խորհուրդ ենք տալիս:

Սպասեք! Այդ օրինական կայքը կարող է լինել ձեր գաղտնաբառերը գողանալու հնարք

Սպասեք! Այդ օրինական կայքը կարող է լինել ձեր գաղտնաբառերը գողանալու հնարք

Պարզապես այն պատճառով, որ օրինական ծառայությունը ձեզնից խնդրում է ձեր մուտքի հավատարմագրերը, չի նշանակում, որ ձեզ չեն խաղում: Ուշադիր եղեք առցանց լինելիս

Plex տվյալների խախտումը կարող էր արտահոսել ձեր էլ.փոստը կամ գաղտնաբառերը

Plex տվյալների խախտումը կարող էր արտահոսել ձեր էլ.փոստը կամ գաղտնաբառերը

Plex-ը ծանուցել է բաժանորդներին տվյալների վերջին խախտման մասին, որը կարող է հանգեցնել էլփոստի հասցեների և գաղտնաբառերի վտանգի:

Ձեր սիրելի ավտոմեքենայի առանձնահատկությունները կարող են շուտով պահանջել բաժանորդագրություն

Ձեր սիրելի ավտոմեքենայի առանձնահատկությունները կարող են շուտով պահանջել բաժանորդագրություն

BMW-ն սկսել է ամսական բաժանորդագրություն գանձել որոշ մարզերում տաքացվող նստատեղերի համար, սակայն փորձագետներն ասում են, որ դա դեռ սկիզբն է: Շուտով ձեր նախընտրած գործառույթները կարող են պահանջել բաժանորդագրություն

Ձեր դիտարկիչի ընդլայնումները կարող են ձեզ ավելի հասանելի դարձնել

Ձեր դիտարկիչի ընդլայնումները կարող են ձեզ ավելի հասանելի դարձնել

Ընդլայնումները, որոնք դուք ընտրում եք ավելացնել ձեր դիտարկիչին, կարող են ձեզ ավելի եզակի դարձնել և հեշտացնել ճիշտ տեղեկատվություն ունեցող մարդկանց հետևելը, սակայն փորձագետներն ասում են, որ սա նորություն չէ:

Ինչպես AI-ն կարող է շուտով օգնել հաքերներին գողանալ ձեր տեղեկատվությունը

Ինչպես AI-ն կարող է շուտով օգնել հաքերներին գողանալ ձեր տեղեկատվությունը

Արհեստական ինտելեկտը լավ է օրինաչափություններ տեսնելու և տվյալներ գտնելու համար: Սրանք այն ճշգրիտ հմտություններն են, որոնք կարող են այն դարձնել հիանալի գործիք հաքերների համար, որոնք փնտրում են տվյալները գողանալու նոր ուղիներ: