Hacker News

Chrome-ի ընդլայնումները լրտեսում են օգտատերերի զննարկման տվյալները

Chrome-ի ընդլայնումները լրտեսում են օգտատերերի զննարկման տվյալները Քրոմի այս համապարփակ վերլուծությունը առաջարկում է դրա հիմնական բաղադրիչների և ավելի լայն հետևանքների մանրամասն ուսումնասիրություն: Ուշադրության հիմնական ոլորտները Քննարկումը կենտրոնացած է. Հիմնական մեխանիզմները և պրո...

1 min read Via qcontinuum.substack.com

Mewayz Team

Editorial Team

Hacker News

Chrome-ի ընդլայնումները կարող են լրտեսել ձեր զննարկման տվյալները՝ մուտք գործելով զգայուն տեղեկություններ, ինչպիսիք են URL-ները, քուքիները, ձևաթղթերի մուտքագրումները և ցանցային հարցումները, հաճախ առանց ձեր իմացության: Հասկանալը, թե ինչպես է աշխատում այս հսկողությունը և ինչպես պաշտպանվել ձեզ, կարևոր է բոլոր նրանց համար, ովքեր օգտագործում են զննարկիչը բիզնեսի կամ անձնական խնդիրների համար:

Ինչպե՞ս են Chrome-ի ընդլայնումները հասանելիություն ստանում ձեր զննարկման տվյալներին:

Երբ դուք տեղադրում եք Chrome-ի ընդլայնում, այն պահանջում է մի շարք թույլտվություններ, որոնք սահմանված են իր manifest.json ֆայլում: Շատ օգտատերեր սեղմում են «Ավելացնել Chrome-ին»՝ առանց այս թույլտվության հարցումները կարդալու՝ անգիտակցաբար ընդլայնումներին լայն հասանելիություն տալով իրենց թվային կյանքին:

Ամենավտանգավոր թույլտվությունները ներառում են՝

  • ներդիրներ – Թույլ է տալիս ընդլայնմանը կարդալ ձեր բացած յուրաքանչյուր ներդիրի URL-ը, վերնագիրը և ֆավիկոնը՝ արդյունավետորեն հետևելով ձեր այցելած յուրաքանչյուր կայքէջին:
  • webRequest / webRequestBlocking – Թույլ է տալիս ընդլայնմանը ընդհատել, ստուգել և նույնիսկ փոփոխել ցանցի հարցումները, նախքան դրանք սերվեր հասնելը, ներառյալ մուտքի հավատարմագրերը և API նշանները:
  • քուքիներ – Թույլ է տալիս մուտք գործել ձեր դիտարկիչում պահվող բոլոր քուքիները, որոնք կարող են օգտագործվել բանկային, էլ.փոստի և SaaS հարթակներում վավերացված աշխատաշրջանները գրավելու համար:
  • պատմություն – Ապահովում է ձեր զննարկման պատմության ամբողջական մատյան, որը թույլ է տալիս ընդլայնումներին ստեղծել ձեր առցանց գործունեության մանրամասն վարքային պրոֆիլը:
  • պահեստավորում – Թույլ է տալիս ընդլայնմանը կարդալ և գրել մշտական տվյալներ տեղում՝ պոտենցիալ պահելով ստացված տեղեկատվությունը հետագա արտազատման համար:

Նույնիսկ օրինական թվացող ընդլայնումները՝ գովազդի արգելափակումները, քերականության ստուգիչները, արտադրողականության գործիքները, բռնվել են, երբ հավաքում են օգտատերերի տվյալները մասշտաբով և վաճառում դրանք տվյալների բրոքերներին կամ վերլուծական ընկերություններին:

Որո՞նք են երկարաձգման լրտեսության իրական հետևանքները:

Ռիսկերը գերազանցում են գաղտնիության աննշան անհանգստությունը: Վնասակար կամ վատ նախագծված ընդլայնումները չափելի վնաս են հասցրել ինչպես անհատներին, այնպես էլ կազմակերպություններին:

2023 թվականին հետազոտողները Chrome Web Store-ում հայտնաբերել են տասնյակ ընդլայնումներ՝ միլիոնավոր օգտատերերի համակցված տեղադրման բազայով, որոնք բոլորն էլ հանգիստ փոխանցում են զննարկման պատմությունը արտաքին սերվերներին: Կորպորատիվ միջավայրում մեկ վտանգված ընդլայնումը կարող է բացահայտել սեփականության հետազոտությունը, հաճախորդի տվյալները, գործիքների ներքին URL-ները և իսկորոշման նշանները:

«Զննարկիչի ընդլայնումը գործում է նույն վստահության մակարդակով, ինչ ձեր այցելած կայքերը, բայց արտոնություններով, որոնք միաժամանակ հասնում են յուրաքանչյուր կայք: Դա այն դարձնում է ժամանակակից հաշվարկների ամենահզոր և թերագնահատված հարձակման մակերեսներից մեկը»: — Անվտանգության հետազոտողի տեսակետը բրաուզերի ընդլայնման ռիսկի վերաբերյալ

Ձեռնարկությունների համար, որոնք կառավարում են զգայուն գործառնություններ՝ աշխատավարձերի ցուցակ, CRM-ի տվյալներ, ֆինանսական վահանակներ, մեկ աշխատակցի մեքենայի ապօրինի ընդլայնումը կարող է դառնալ կազմակերպչական ամբողջական խախտում: Հարձակման մակերեսը ուժեղացված է, քանի որ ընդլայնումները լուռ թարմացվում են, ինչը նշանակում է, որ երբեմնի անվտանգ գործիքը կարող է վնասակար լինել ձեռքբերումից կամ կոդի հանգիստ փոփոխությունից հետո:

Ինչպե՞ս կարող եք բացահայտել, թե որ ընդլայնումներն են լրտեսում ձեզ:

Հայտնաբերումը պարզ չէ, սակայն կան գործնական քայլեր, որոնք կարող եք ձեռնարկել հենց հիմա՝ ստուգելու ձեր բրաուզերի միջավայրը:

Սկսեք՝ անցնելով chrome://extensions և դիտելով յուրաքանչյուր տեղադրված ընդլայնում: Սեղմեք «Մանրամասներ» յուրաքանչյուրի վրա՝ ուսումնասիրելու համար տրված թույլտվությունները: Հատկապես զգույշ եղեք ընդարձակումների նկատմամբ, որոնք պահանջում են մուտք գործել «բոլոր կայքեր», երբ դրանց նշված գործառույթը նեղ է. պարզ գույնի ընտրիչը չի կարող կարդալ ձեր ցանցի հարցումները:

Դուք կարող եք նաև օգտագործել Chrome-ի ներկառուցված DevTools Network վահանակը՝ վերահսկելու ելքային երթևեկությունը, մինչ ընդլայնումն ակտիվ է: Երրորդ կողմի գործիքները, ինչպիսիք են Privacy Badger-ը կամ դիտարկիչի ցանցի մոնիտորները, կարող են նշել անսպասելի արտաքին զանգերը դեպի տվյալների բրոքերի տիրույթներ: Բացի այդ, վերանայեք ընդլայնումների ակնարկները այնպիսի ֆորումների վրա, ինչպիսիք են Reddit-ի r/chrome-ը կամ անկախ անվտանգության բլոգները, քանի որ համայնքը հաճախ բացահայտում է կասկածելի վարքագիծ՝ նախքան Google-ի գործողությունները:

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Ի՞նչ քայլեր կարող եք ձեռնարկել ձեր բիզնեսի տվյալները երկարաձգման հսկողությունից պաշտպանելու համար:

Պաշտպանությունը պահանջում է շերտավոր մոտեցում, որը համատեղում է տեխնիկական հսկողությունը կազմակերպչական քաղաքականության հետ:

Անհատական ​​մակարդակում կիրառեք նվազագույն արտոնությունների սկզբունքը. տեղադրեք միայն խիստ անհրաժեշտ ընդլայնումներ, որոնք ստացված են հեղինակավոր հրատարակիչներից, որոնք ունեն գաղտնիության թափանցիկ քաղաքականություն և պարբերաբար ստուգվում են անվտանգության անկախ հետազոտողների կողմից: Հեռացրեք ցանկացած ընդլայնում, որը ակտիվորեն չեք օգտագործել վերջին 30 օրվա ընթացքում:

Կազմակերպչական մակարդակում ձեռնարկությունները պետք է կիրառեն ընդլայնման թույլտվությունների ցուցակները Google Workspace Admin-ի կամ ձեռնարկության բրաուզերի կառավարման գործիքների միջոցով: Սա նշանակում է, որ միայն նախապես հաստատված, ստուգված ընդարձակումները կարող են տեղադրվել ընկերության սարքերում: Անվտանգության կանոնավոր աուդիտները, աշխատակիցների ուսուցումը դիտարկիչի հիգիենայի վերաբերյալ և ելքային DNS հարցումների մոնիտորինգը կարող են նվազեցնել բացահայտումը:

Ձեր բիզնես գործողությունների կենտրոնացումը ուժեղ անվտանգության դիրքերով հարթակներում նույնպես կտրուկ նվազեցնում է ձեր հարձակման մակերեսը: Երբ ձեր թիմը գործում է մեկ, ինտեգրված բիզնես օպերացիոն համակարգից, այլ ոչ թե բրաուզերի վրա հիմնված գործիքների կարկատանից, որոնք պահանջում են տասնյակ ընդլայնումներ, դուք վերացնում եք թույլտվության վեկտորներից շատերը, որոնք օգտագործում են ընդլայնումները:

Ինչպե՞ս է միասնական բիզնես հարթակը նվազեցնում ձեր ընդլայնման ռիսկը:

Բրաուզերի ընդլայնման կախվածության ամենաթերգնահատված դրայվերներից մեկը գործիքի մասնատումն է: Երբ ձեր թիմը օգտագործում է 15 տարբեր SaaS հավելվածներ CRM-ի, նախագծերի կառավարման, էլփոստի մարքեթինգի, հաշիվ-ապրանքագրերի և վերլուծության համար, աշխատակիցներն անխուսափելիորեն տեղադրում են ընդլայնումներ՝ բացերը կամրջելու համար՝ ավտոմատ լրացման գործիքներ, տվյալների քերիչներ, ներդիրների կառավարիչներ և միջպլատֆորմային միակցիչներ:

Այս ընդլայնումներից յուրաքանչյուրը պոտենցիալ հսկողության վեկտոր է: Գործիքների տարածման կրճատումը նվազեցնում է կախվածությունը երկարաձգման վրա: Mewayz-ն ուղղակիորեն անդրադառնում է դրան որպես 207 մոդուլից բաղկացած բիզնես օպերացիոն համակարգ, որը համախմբում է տասնյակ ինքնուրույն գործիքների գործառույթները մեկ, ապահով հարթակի մեջ: Քանի որ 138,000 օգտատերեր կառավարում են ամեն ինչ՝ հղում-in-bio էջերից մինչև էլեկտրոնային առևտրի ցուցափեղկեր, CRM խողովակաշարեր և բովանդակության պլանավորում մեկ միջավայրում, երրորդ կողմի բրաուզերի ռիսկային ընդլայնումներ տեղադրելու անհրաժեշտությունը կտրուկ նվազում է:

Երբ ձեր բիզնեսի աշխատանքային հոսքերն ապրում են համահունչ, թույլտվությունների միջոցով վերահսկվող հարթակի ներսում, այլ ոչ թե ցրված են տասնյակ ներդիրներում, որոնց գործարկման համար ընդլայնումներ են պահանջվում, դուք փակում եք տվյալների արտահանման ամենատարածված ուղիները, որոնք օգտագործում են ընդլայնումները:

Հաճախակի տրվող հարցեր

Կարո՞ղ են Chrome-ի ընդլայնումները գողանալ իմ գաղտնաբառերը:

Այո: Ընդլայնումները, որոնք ունեն webRequest թույլտվություններ կամ մուտք դեպի որոշակի էջի բովանդակություն, կարող են ընդհատել ձևերի ներկայացումները, ներառյալ մուտքի դաշտերը, նախքան դրանք կոդավորված և սերվեր ուղարկելը: cookie թույլտվություններ ունեցող ընդլայնումները կարող են նաև գողանալ սեսիայի նշանները, որոնք փաստացիորեն թույլ են տալիս մուտք գործել ձեր հաշիվներ՝ առանց ձեր իրական գաղտնաբառի անհրաժեշտության: Միշտ ստուգեք ընդլայնման թույլտվությունները նախքան տեղադրումը և խուսափեք մուտքի թույլտվություն տալ զգայուն տիրույթներին, եթե դա խիստ պահանջ չէ:

Google-ը կանխո՞ւմ է վնասակար ընդլայնումների մուտքը Chrome Web Store:

Google-ն օգտագործում է ավտոմատացված և ձեռքով վերանայման գործընթացներ, բայց դրանք անխոհեմ չեն: Վնասակար ընդլայնումները բազմիցս անցել են վերանայում և միլիոնավոր ներբեռնումներ են կուտակել նախքան հեռացվելը: Որոշ ընդլայնումներ սկսվում են որպես օրինական գործիքներ և դառնում վնասակար՝ վատ դերասանների կողմից ձեռք բերելուց կամ հանգիստ թարմացումից հետո: Միայն Google-ի վերանայման գործընթացին ապավինելը բավարար չէ զգայուն տվյալներ ունեցող ձեռնարկությունների համար. Անկախ ստուգման և կազմակերպչական թույլտվությունների ցուցակները անհրաժեշտ լրացուցիչ հսկողություն են:

Որքա՞ն հաճախ պետք է ստուգեմ իմ Chrome ընդլայնումները:

Անձնական օգտատերերի համար եռամսյակային աուդիտը ողջամիտ հիմք է: Բիզնես օգտատերերի կամ որևէ մեկի համար, ով զբաղվում է մասնագիտական ​​զգայուն տվյալների հետ, ամենամսյա վերանայումն ավելի նպատակահարմար է: Դուք նաև պետք է ստուգեք անմիջապես բրաուզերի ընդլայնումների հետ կապված անվտանգության կարևոր նորություններից հետո, թիմի նոր անդամների մուտքագրումից հետո և ցանկացած ժամանակ, երբ նկատում եք դիտարկիչի անսպասելի վարք, ինչպիսիք են դանդաղեցումը, վերահղումները կամ անծանոթ ելքային ցանցի գործունեությունը:

Դիտարկիչի անվտանգությունը սկսվում է ձեր կողմից տեղադրվող և վստահված գործիքների վերաբերյալ ձեր ընտրությունից: Եթե ​​դուք պատրաստ եք նվազեցնել ձեր կազմակերպության ազդեցությունը՝ համախմբելով ձեր բիզնես գործողությունները մեկ, ապահով հարթակի վրա՝ վերացնելով ընդլայնման կախվածությունը, որը վտանգի տակ է դնում ձեր տվյալները,ուսումնասիրեք Mewayz-ը այսօր: Ամսական $19-ից սկսած պլաններով, 207 ինտեգրված մոդուլներով և 138,000 օգտվողների աճող համայնքով, Mewayz-ը ձեր թիմին տալիս է այն ամենը, ինչ անհրաժեշտ է՝ առանց դիտարկիչի ընդլայնումների, որոնք ձեր տվյալները դնում են ուրիշի ձեռքում: