Hacker News

Chrome-ის გაფართოებები აკვირდებიან მომხმარებლების დათვალიერების მონაცემებს

Chrome-ის გაფართოებები აკვირდებიან მომხმარებლების დათვალიერების მონაცემებს ქრომის ეს ყოვლისმომცველი ანალიზი გვთავაზობს დეტალურ გამოკვლევას მისი ძირითადი კომპონენტებისა და უფრო ფართო შედეგების შესახებ. ფოკუსის ძირითადი სფეროები დისკუსია ორიენტირებულია: ძირითადი მექანიზმები და პრო...

1 min read Via qcontinuum.substack.com

Mewayz Team

Editorial Team

Hacker News

Chrome-ის გაფართოებებს შეუძლიათ დაათვალიერონ თქვენი დათვალიერების მონაცემები სენსიტიურ ინფორმაციაზე წვდომით, როგორიცაა URL-ები, ქუქი-ფაილები, ფორმების შეყვანა და ქსელის მოთხოვნები — ხშირად თქვენი ცოდნის გარეშე. იმის გაგება, თუ როგორ მუშაობს ეს მეთვალყურეობა და როგორ დაიცვათ თავი, აუცილებელია ყველასთვის, ვინც იყენებს ბრაუზერს საქმიანი ან პირადი ამოცანებისთვის.

როგორ იძენენ Chrome გაფართოებები თქვენს დათვალიერების მონაცემებზე წვდომას?

Chrome-ის გაფართოების ინსტალაციისას, ის ითხოვს ნებართვების კომპლექტს, რომელიც განსაზღვრულია მის manifest.json ფაილში. ბევრი მომხმარებელი აწკაპუნებს „Chrome-ში დამატება“ ამ ნებართვის მოთხოვნების წაკითხვის გარეშე, რაც გაუცნობიერებლად აძლევს გაფართოებებს ფართო წვდომას მათ ციფრულ ცხოვრებაზე.

ყველაზე საშიში ნებართვები მოიცავს:

  • tabs – საშუალებას აძლევს გაფართოებას წაიკითხოს ყველა თქვენ მიერ გახსნილი ჩანართის URL, სათაური და ფავიკონი, ეფექტურად თვალყური ადევნოს თქვენს მიერ მონახულებულ ყველა ვებსაიტს.
  • webRequest / webRequestBlocking – საშუალებას აძლევს გაფართოებას ჩაჭრას, შეამოწმოს და შეცვალოს ქსელის მოთხოვნები, სანამ ისინი მიაღწევენ სერვერს, მათ შორის შესვლის სერთიფიკატები და API ჟეტონები.
  • ქუქიები – ანიჭებს წვდომას თქვენს ბრაუზერში შენახულ ყველა ქუქი-ფაილზე, რომელიც შეიძლება გამოყენებულ იქნას საბანკო, ელექტრონული ფოსტისა და SaaS პლატფორმებზე დამოწმებული სესიების გასატაცებლად.
  • ისტორია – გთავაზობთ თქვენი დათვალიერების ისტორიის სრულ ჟურნალს, რაც გაფართოებებს საშუალებას აძლევს შექმნან თქვენი ონლაინ აქტივობის დეტალური ქცევითი პროფილი.
  • შენახვა – საშუალებას აძლევს გაფართოებას წაიკითხოს და დაწეროს მუდმივი მონაცემები ლოკალურად, პოტენციურად შეინახოს მიღებული ინფორმაცია შემდგომი ექსფილტრაციისთვის.

გაფართოებებიც კი, რომლებიც ლეგიტიმურად გამოიყურება - რეკლამის ბლოკატორები, გრამატიკის შემმოწმებლები, პროდუქტიულობის ხელსაწყოები - დაიჭირეს მომხმარებლის მონაცემების ფართო მასშტაბის შეგროვების და მონაცემთა ბროკერებისთვის ან ანალიტიკური ფირმებისთვის გაყიდვისას.

რა არის გაფართოების ჯაშუშობის რეალური შედეგები?

რისკები სცილდება კონფიდენციალურობის ზომიერ დისკომფორტს. მავნე ან ცუდად შემუშავებულმა გაფართოებებმა გაზომვადი ზიანი მიაყენა როგორც ინდივიდებს, ასევე ორგანიზაციებს.

2023 წელს მკვლევარებმა Chrome Web Store-ში ათობით გაფართოება დაადგინეს მილიონობით მომხმარებლის კომბინირებული ინსტალაციის ბაზაზე, რომლებიც ჩუმად გადასცემდნენ დათვალიერების ისტორიებს გარე სერვერებზე. კორპორატიულ გარემოში ერთ კომპრომეტირებულ გაფართოებას შეუძლია გამოავლინოს საკუთრების კვლევა, კლიენტის მონაცემები, შიდა ხელსაწყოების URL-ები და ავთენტიფიკაციის ნიშნები.

"ბრაუზერის გაფართოება მუშაობს იმავე ნდობის დონით, როგორც თქვენ მიერ მონახულებული ვებსაიტები, მაგრამ პრივილეგიებით, რომლებიც ერთდროულად ვრცელდება ყველა საიტზე. რაც მას ერთ-ერთ ყველაზე ძლიერ და დაუფასებელ თავდასხმის ზედაპირად აქცევს თანამედროვე გამოთვლებში." — უსაფრთხოების მკვლევარის პერსპექტივა ბრაუზერის გაფართოების რისკის შესახებ

ბიზნესებისთვის, რომლებიც მართავენ მგრძნობიარე ოპერაციებს - სახელფასო, CRM მონაცემები, ფინანსური დაფები - ერთი თანამშრომლის აპარატზე ბოროტი გაფართოება შეიძლება გახდეს სრული ორგანიზაციული დარღვევა. თავდასხმის ზედაპირი გაძლიერებულია, რადგან გაფართოებები ჩუმად განახლდება, რაც ნიშნავს, რომ ერთ დროს უსაფრთხო ხელსაწყო შეიძლება მავნე გახდეს შეძენის ან კოდის მშვიდი ცვლილების შემდეგ.

როგორ შეგიძლიათ ამოიცნოთ, რომელი გაფართოებები გითვალთვალებენ?

გამოვლენა არ არის მარტივი, მაგრამ არის პრაქტიკული ნაბიჯები, რომელთა გადადგმაც შეგიძლიათ ახლავე თქვენი ბრაუზერის გარემოს შესამოწმებლად.

დაიწყეთ chrome://extensions-ზე ნავიგაციით და ყველა დაინსტალირებული გაფართოების გადახედვით. დააწკაპუნეთ "დეტალებზე" თითოეულზე, რათა შეამოწმოთ მისთვის მინიჭებული ნებართვები. განსაკუთრებით ფრთხილად იყავით გაფართოებების მიმართ, რომლებიც ითხოვენ წვდომას „ყველა საიტზე“, როდესაც მათი მითითებული ფუნქცია ვიწროა — მარტივი ფერის ამომრჩევი არ კითხულობს თქვენი ქსელის მოთხოვნებს.

თქვენ ასევე შეგიძლიათ გამოიყენოთ Chrome-ის ჩაშენებული DevTools ქსელის პანელი გამავალი ტრაფიკის მონიტორინგისთვის, სანამ გაფართოება აქტიურია. მესამე მხარის ინსტრუმენტებს, როგორიცაა Privacy Badger ან ბრაუზერის ქსელის მონიტორებს შეუძლიათ მონიშნონ მოულოდნელი გარე ზარები მონაცემთა ბროკერის დომენებზე. გარდა ამისა, გადახედეთ გაფართოების მიმოხილვებს ფორუმებზე, როგორიცაა Reddit-ის r/chrome ან დამოუკიდებელი უსაფრთხოების ბლოგები, რადგან საზოგადოება ხშირად აფიქსირებს საეჭვო ქცევას, სანამ Google იმოქმედებს მასზე.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

რა ნაბიჯების გადადგმა შეგიძლიათ თქვენი ბიზნესის მონაცემების გაფართოებული ზედამხედველობისგან დასაცავად?

დაცვა მოითხოვს ფენოვან მიდგომას, რომელიც აერთიანებს ტექნიკურ კონტროლს ორგანიზაციულ პოლიტიკასთან.

ინდივიდუალურ დონეზე გამოიყენეთ მინიმალური პრივილეგიის პრინციპი: დააინსტალირეთ მხოლოდ მკაცრად საჭირო გაფართოებები, რომლებიც მიღებულია სანდო გამომცემლებისგან გამჭვირვალე კონფიდენციალურობის პოლიტიკით და რეგულარულად მოწმდება უსაფრთხოების დამოუკიდებელი მკვლევარების მიერ. წაშალეთ ნებისმიერი გაფართოება, რომელიც აქტიურად არ გამოგიყენებიათ ბოლო 30 დღის განმავლობაში.

ორგანიზაციულ დონეზე, ბიზნესებმა უნდა განახორციელონ გაფართოების ნებადართული სიები Google Workspace ადმინისტრატორის ან საწარმოს ბრაუზერის მართვის ხელსაწყოების მეშვეობით. ეს ნიშნავს, რომ მხოლოდ წინასწარ დამტკიცებული, შემოწმებული გაფართოებები შეიძლება დაინსტალირდეს კომპანიის მოწყობილობებზე. უსაფრთხოების რეგულარულმა აუდიტმა, თანამშრომლების სწავლება ბრაუზერის ჰიგიენის შესახებ და გამავალი DNS მოთხოვნების მონიტორინგი შეიძლება შეამციროს ექსპოზიცია.

თქვენი ბიზნეს ოპერაციების ცენტრალიზება პლატფორმებზე ძლიერი უსაფრთხოების პოზებით ასევე მკვეთრად ამცირებს თქვენი თავდასხმის ზედაპირს. როდესაც თქვენი გუნდი მუშაობს ერთიანი, ინტეგრირებული ბიზნეს ოპერაციული სისტემიდან და არა ბრაუზერზე დაფუძნებული ხელსაწყოების პაჩვორკით, რომლებიც საჭიროებენ ათობით გაფართოებას, თქვენ აღმოფხვრის ნებართვის ვექტორებს, რომლებსაც გაფართოებები იყენებს.

როგორ ამცირებს ერთიანი ბიზნეს პლატფორმა თქვენი გაფართოების რისკს?

ბრაუზერის გაფართოების დამოკიდებულების ერთ-ერთი ყველაზე დაუფასებელი დრაივერი არის ხელსაწყოს ფრაგმენტაცია. როდესაც თქვენი გუნდი იყენებს 15 განსხვავებულ SaaS აპს CRM-ისთვის, პროექტის მენეჯმენტისთვის, ელ.ფოსტის მარკეტინგისთვის, ინვოისის შედგენისა და ანალიტიკისთვის, თანამშრომლები აუცილებლად აყენებენ გაფართოებებს ხარვეზების გადასალახად - ავტომატური შევსების ხელსაწყოები, მონაცემთა საქაღალდეები, ჩანართების მენეჯერები და კროს-პლატფორმული კონექტორები.

თითოეული ეს გაფართოება არის პოტენციური სათვალთვალო ვექტორი. ხელსაწყოების გავრცელების შემცირება ამცირებს გაფართოების დამოკიდებულებას. Mewayz პირდაპირ მიმართავს ამას, როგორც 207-მოდულიანი ბიზნეს ოპერაციული სისტემა, რომელიც აერთიანებს ათობით დამოუკიდებელი ხელსაწყოს ფუნქციებს ერთ, უსაფრთხო პლატფორმაში. 138,000 მომხმარებელი მართავს ყველაფერს, დაწყებული ბმული ბიო გვერდებიდან დაწყებული ელექტრონული კომერციის ვიტრინებით, CRM მილსადენებით და შინაარსის დაგეგმვა ერთ გარემოში, მესამე მხარის სარისკო ბრაუზერის გაფართოებების დაყენების საჭიროება მკვეთრად მცირდება.

როდესაც თქვენი ბიზნესის სამუშაო ნაკადები ცხოვრობს თანმიმდევრულ, ნებართვით კონტროლირებად პლატფორმაში, და არა მიმოფანტული ათობით ჩანართზე, რომლებიც საჭიროებენ გაფართოებებს ფუნქციონირებისთვის, თქვენ ხურავთ მონაცემთა ექსფილტრაციის ყველაზე გავრცელებულ გზებს, რომლებსაც გაფართოებები იყენებს.

ხშირად დასმული კითხვები

შეუძლია თუ არა Chrome გაფართოებებს მოიპაროს ჩემი პაროლები?

დიახ. გაფართოებებმა webRequest ნებართვით ან გვერდის კონკრეტულ კონტენტზე წვდომით შეიძლება ხელი შეუშალოს ფორმას, მათ შორის შესვლის ველებს, სანამ ისინი დაშიფრული და სერვერზე გაგზავნილი იქნება. გაფართოებებს ქუქიების ნებართვით ასევე შეუძლიათ მოიპარონ სესიის ნიშნები, რომლებიც ეფექტურად ანიჭებენ წვდომას თქვენს ანგარიშებზე თქვენი ნამდვილი პაროლის საჭიროების გარეშე. ყოველთვის გადაამოწმეთ გაფართოების ნებართვები ინსტალაციამდე და მოერიდეთ მგრძნობიარე დომენებზე წვდომის მინიჭებას, თუ ეს მკაცრად არ არის საჭირო.

აფერხებს თუ არა Google მავნე გაფართოებებს Chrome Web Store-ში წვდომას?

Google იყენებს ავტომატური და ხელით განხილვის პროცესებს, მაგრამ ისინი არ არის უტყუარი. მავნე გაფართოებებმა არაერთხელ გაიარა განხილვა და დაგროვდა მილიონობით ჩამოტვირთვა, სანამ წაიშლება. ზოგიერთი გაფართოება იწყება როგორც ლეგიტიმური ინსტრუმენტები და ხდება მავნე მას შემდეგ, რაც შეძენილია ცუდი მსახიობების მიერ ან მშვიდი განახლების შემდეგ. მხოლოდ Google-ის განხილვის პროცესზე დაყრდნობა არასაკმარისია სენსიტიური მონაცემების მქონე ბიზნესებისთვის; დამოუკიდებელი შემოწმება და ორგანიზაციული ნებადართული სიები არის აუცილებელი დამატებითი კონტროლი.

რამდენ სიხშირით უნდა ჩავატარო ჩემი Chrome გაფართოებების შემოწმება?

პერსონალური მომხმარებლებისთვის კვარტალური აუდიტი გონივრული საბაზისოა. ბიზნეს მომხმარებლებისთვის ან მათთვის, ვინც ამუშავებს მგრძნობიარე პროფესიონალურ მონაცემებს, ყოველთვიური მიმოხილვა უფრო შესაფერისია. თქვენ ასევე უნდა აუდიტორით დაუყოვნებლივ ჩაატაროთ უსაფრთხოების ნებისმიერი მნიშვნელოვანი სიახლე, რომელიც დაკავშირებულია ბრაუზერის გაფართოებებთან, ახალი გუნდის წევრების ჩასვლის შემდეგ და ნებისმიერ დროს, როდესაც შეამჩნევთ ბრაუზერის მოულოდნელ ქცევას, როგორიცაა შენელება, გადამისამართებები ან უცნობი გამავალი ქსელის აქტივობა.

ბრაუზერის უსაფრთხოება იწყება თქვენს მიერ დაყენებული და სანდო ხელსაწყოების შესახებ არჩევანით. თუ თქვენ მზად ხართ შეამციროთ თქვენი ორგანიზაციის ექსპოზიცია თქვენი ბიზნეს ოპერაციების ერთიან, უსაფრთხო პლატფორმაზე კონსოლიდირებით - აღმოფხვრათ გაფართოების დამოკიდებულება, რომელიც საფრთხეს უქმნის თქვენს მონაცემებს - გამოიკვლიეთ Mewayz დღეს. გეგმებით დაწყებული $19/თვეში, 207 ინტეგრირებული მოდულითა და 138,000 მომხმარებლის მზარდი საზოგადოება, Mewayz აძლევს თქვენს გუნდს ყველაფერს, რაც მას სჭირდება ბრაუზერის გაფართოებების გარეშე, რომლებიც თქვენს მონაცემებს სხვის ხელში აქცევს.