您可能会认为浏览器扩展完全是为了帮助您(最终用户)。您会错的。
尽管某些扩展功能(例如书签工具)就是一个很好的例子。
这些扩展功能是否利用了其他应用程序和网站中的漏洞,或者只是提供了流向潜在的黑客,毫无疑问,您需要对添加到浏览器中的内容越来越保持警惕。
问题的蔓延程度如何?
去年年底的研究分析了Chrome商店中的48,000多个扩展程序。他们的结果表明,有4700多个“可疑"和130个“恶意"。尽管没有命名,研究人员声称这130个用户中有一个拥有超过550万用户。
当时,Tripwire漏洞和暴露研究小组的安全研究员,泰勒·瑞古利(Tyler Reguly)说, >“ Google Chrome插件在许多方面类似于Android应用程序。他们需要过多的权限,而又不让最终用户真正了解他们在做什么。在这两种情况下,无论是Google Chrome浏览器还是Android,问题都出在Google身上。"
这里只是浏览器扩展的一小部分,可以帮助黑客锁定受害者:
掠夺者地图[sic]属于上述两个类别的先驱,因为它利用合法的Facebook Messenger应用在地图上绘制您朋友的位置。
报告建议可以提取最早可追溯至2013年的数据,尽管该数据仅适用于在其Facebook消息上启用了位置共享的朋友(该选项在Android和iOS上均默认启用)。
如果您是那种认真管理其Facebook朋友列表的人,那么这可能不是值得过分关注的事情,但是如果您习惯性地接受邀请并有成千上万的朋友,那么其中一些您几乎不会知道,那么您应该仔细考虑下一步。
使用此应用,黑客很可能会在您不在家的时候知道(或根据过去的行为确定),请参阅您经常去哪些商店购物,并知道与谁在一起的时间最多。这显然是为了您自己的安全和保障而应尽可能保密的信息。
悬停缩放
悬停缩放属于开头提到的第二类。它直接监视您的在线行为。
扩展程序的原理既简单又吸引人–它使您可以浏览多个受欢迎网站(如Reddit,Amazon,Pinterest,eBay,Facebook等)上的图像库。 ),只需将鼠标悬停在图片上,而无需点击缩略图本身。
自发布以来,它已经吸引了超过110万用户。
其中有多少用户也许不知道是该扩展程序正在积极监视其中绝大多数用户的在线习惯。
但这是如何发生的,又如何允许他们摆脱这种习惯?
Hover Zoom是一个诚实,独立的扩展,它完全按照它所说的去做,而不再做。但是,随着它的受欢迎程度的提高,它对广告软件和恶意软件公司的吸引力也增加了。
它被一家这样的公司所收购,如今在“不良行为"方面已有很长的历史了–近年来,开发人员在收集在线表单数据并出售您的击键上被抓到了。
他们可以逃脱,因为他们在描述页面上公开了这些信息。它说:“ 悬停缩放要求扩展程序用户授予悬停缩放权限,以收集供内部使用并与第三方共享的浏览活动,所有这些活动均以匿名和汇总的方式用于研究目的"。实际上,这意味着他们会跟踪您访问的单个网页并为该数据付费,同时在您最常访问的所有网站上放置广告。
总而言之,正在监视着超过一百万的人
BBC新闻阅读器和自动复制
扩展出售和变成跟踪器的问题不仅限于Google Chrome。
非官方),还发现Firefox上的BBC新闻阅读器与自动复制(一种自动将所选文本复制到剪贴板的工具)一起是有罪的。
这为用户提供了有关第三方扩展的重要课程,应用和网站。尽管某些服务的官方应用程序因其对隐私和安全性的处理方式而受到(通常是合法的)批评,但实际上它们受用户群的摆布–强烈的抗议将迫使他们解决问题并修改其政策。第三方应用程序和扩展程序通常不受此类消费者压力的约束-它们可以一直跟踪您并出售您的数据,而您甚至根本没有意识到。
使用它们的后果自负。
Hola Unblocker
没有Hola,没有恶意扩展的列表是完整的。研究人员将其描述为“用于执行有针对性的网络攻击的理想平台",曾经广受欢迎的免费VPN服务现在位于“应避免的扩展"列表的顶部。
全世界有4600万用户,这无疑是Chrome应用商店中最大的恶意扩展。
这个问题在一个论坛所有者声称Hola用户在不知不觉地为僵尸网络提供动力的情况下暴露出来。对他的网站进行多次攻击。开发人员随后承认免费版本扩展用户的带宽已被出售以支付运营成本。
在实践中,这意味着每个用户都成为网络的终点,每个用户都可以
Hola的创始人为他的公司作为创新者辩护,他说:“我们迅速创新,但看起来乔布斯是对的。我们犯了一些错误,现在我们将快速修复它们"-但这对受到攻击的用户来说毫无助益。
如何知道您的扩展程序是否恶意?
确定扩展名是否为恶意的最有效方法是使用Shield For Chrome [不再可用],具有讽刺意味的是,它是另一个扩展名!
一旦安装,它将自动扫描您浏览器中的所有扩展名,并告知它们是否在黑名单中。然后,您可以删除任何违规者。
它还具有一些其他有用的功能;例如:例如,它将向您显示每个扩展当前拥有的权限,监视任何恶意活动的未来安装和网站行为,并且很快它将能够通知您扩展的所有权是否更改或扩展是否开始运行
您还可以签出Extension Defender [不再可用]。它的功能与Shield For Chrome相似,但是根据用户评论,它似乎标记出较少的误报。
您是否被赶上了?
您是否被烧死了恶意扩展?您是哪种类型的浏览器用户–您有数百个很少使用的扩展程序,还是保持机器精简和卑鄙?
也许您知道我们错过了一个恶意扩展程序?
无论您遇到什么情况,我们都希望收到您的来信。在下面的评论中让我们知道您的想法,反馈和意见。
