„Chrome“ plėtiniai, šnipinėjantys naudotojų naršymo duomenis

„Chrome“ plėtiniai gali šnipinėti jūsų naršymo duomenis, pasiekdami neskelbtiną informaciją, pvz., URL, slapukus, formų įvestis ir tinklo užklausas, dažnai be jūsų žinios. Suprasti, kaip veikia ši priežiūra ir kaip apsisaugoti, būtina kiekvienam, kuris naudoja naršyklę verslo ar asmeninėms užduotims atlikti.

Kaip „Chrome“ plėtiniai gauna prieigą prie jūsų naršymo duomenų?

Kai įdiegiate „Chrome“ plėtinį, jis prašo leidimų rinkinio, apibrėžto faile manifest.json. Daugelis naudotojų spusteli „Pridėti prie „Chrome“ neperskaitę šių leidimo užklausų ir nesąmoningai suteikdami plėtiniams plačią prieigą prie savo skaitmeninio gyvenimo.

Pavojingiausi leidimai:

• skirtukai – leidžia plėtiniui nuskaityti kiekvieno atidaryto skirtuko URL, pavadinimą ir adresyną, veiksmingai stebint kiekvieną lankomą svetainę.
• webRequest / webRequestBlocking – leidžia plėtiniui perimti, tikrinti ir net keisti tinklo užklausas prieš joms pasiekiant serverį, įskaitant prisijungimo kredencialus ir API prieigos raktus.
• slapukai – suteikiama prieiga prie visų jūsų naršyklėje saugomų slapukų, kurie gali būti naudojami autentifikuotoms seansams bankininkystės, el. pašto ir SaaS platformose užgrobti.
• istorija – pateikia visą naršymo istorijos žurnalą, leidžiantį plėtiniams sukurti išsamų jūsų veiklos internete elgsenos profilį.
• saugykla – leidžia plėtiniui skaityti ir rašyti nuolatinius duomenis vietoje, taip galima saugoti užfiksuotą informaciją, kad būtų galima vėliau išfiltruoti.

Net plėtiniai, kurie atrodo teisėti – skelbimų blokavimo priemonės, gramatikos tikrintuvai, produktyvumo įrankiai – buvo sugauti, renkantys naudotojų duomenis dideliu mastu ir parduodantys juos duomenų brokeriams ar analizės įmonėms.

Kokios yra realios pratęsimo šnipinėjimo pasekmės?

Rizika neapsiriboja nedideliu privatumo nepatogumu. Kenkėjiški arba prastai sukurti plėtiniai padarė apčiuopiamos žalos asmenims ir organizacijoms.

2023 m. mokslininkai nustatė daugybę plėtinių „Chrome“ internetinėje parduotuvėje su bendra milijonų naudotojų diegimo baze, visi tyliai perduoda naršymo istorijas į išorinius serverius. Vienintelis pažeistas plėtinys įmonės aplinkoje gali atskleisti patentuotus tyrimus, klientų duomenis, vidinių įrankių URL ir autentifikavimo prieigos raktus.

"Naršyklės plėtinys veikia tokiu pačiu pasitikėjimo lygiu kaip ir jūsų lankomos svetainės, tačiau su privilegijomis, kurios vienu metu pasiekiamos visose svetainėse. Dėl to jis yra vienas galingiausių ir neįvertintų atakų paviršių šiuolaikinėje kompiuterijoje." — Saugumo tyrinėtojo požiūris į naršyklės plėtinių riziką

Įmonėms, tvarkančioms jautrias operacijas – darbo užmokesčio apskaičiavimą, CRM duomenis, finansines informacijos suvestines – nesąžiningas plėtinys vieno darbuotojo įrenginyje gali tapti visišku organizaciniu pažeidimu. Atakos paviršius sustiprinamas, nes plėtiniai atnaujinami tyliai, o tai reiškia, kad kartą saugus įrankis gali tapti kenkėjiškas po įsigijimo arba tyliai pakeitus kodą.

Kaip nustatyti, kurie plėtiniai jus šnipinėja?

Aptikimas nėra paprastas, tačiau yra praktinių veiksmų, kuriuos galite atlikti dabar, kad patikrintumėte naršyklės aplinką.

Pradėkite eidami į chrome://extensions ir peržiūrėkite kiekvieną įdiegtą plėtinį. Spustelėkite „Išsami informacija“ ant kiekvieno iš jų, kad patikrintumėte jam suteiktus leidimus. Būkite ypač atsargūs dėl plėtinių, kurie prašo prieigos prie „visų svetainių“, kai jų nurodyta funkcija yra siaura – paprastam spalvų rinkikliui nereikia skaityti jūsų tinklo užklausų.

Taip pat galite naudoti „Chrome“ įtaisytąjį „DevTools Network“ skydelį, kad stebėtumėte išeinantį srautą, kai plėtinys aktyvus. Trečiųjų šalių įrankiai, pvz., „Privacy Badger“ arba naršyklės tinklo monitoriai, gali pažymėti netikėtus išorinius skambučius į duomenų tarpininkų domenus. Be to, peržiūrėkite plėtinių apžvalgas forumuose, pvz., „Reddit“ r/chrome arba nepriklausomuose saugos tinklaraščiuose, nes bendruomenė dažnai atskleidžia įtartiną elgesį prieš „Google“ imantis veiksmų.

Kokių veiksmų galite imtis, kad apsaugotumėte savo verslo duomenis nuo plėtinio stebėjimo?

Apsaugai reikia daugiasluoksnio požiūrio, kuris derina techninę kontrolę su organizacijos politika.

Asmeniniu lygmeniu taikykite mažiausios privilegijos principą: įdiekite tik tuos plėtinius, kurie yra griežtai būtini, gaunami iš patikimų leidėjų, kurių privatumo politika yra skaidri ir kuriuos reguliariai tikrina nepriklausomi saugos tyrinėtojai. Pašalinkite visus plėtinius, kurių aktyviai nenaudojote per pastarąsias 30 dienų.

Organizaciniu lygiu įmonės turėtų taikyti plėtinių leidžiamųjų sąrašus naudodamos „Google Workspace Admin“ arba įmonės naršyklės valdymo įrankius. Tai reiškia, kad įmonės įrenginiuose galima įdiegti tik iš anksto patvirtintus, patikrintus plėtinius. Reguliarus saugos auditas, darbuotojų mokymas apie naršyklės higieną ir siunčiamų DNS užklausų stebėjimas gali sumažinti poveikį.

Verslo operacijų centralizavimas platformose, kuriose yra tvirtos saugos pozicijos, taip pat labai sumažina atakos paviršių. Kai jūsų komanda dirba iš vienos integruotos verslo operacinės sistemos, o ne iš daugybės naršyklės įrankių, kuriems reikia daugybės plėtinių, pašalinate daugelį leidimų vektorių, kuriuos išnaudoja plėtiniai.

Kaip vieninga verslo platforma sumažina pratęsimo riziką?

Vienas iš labiausiai neįvertintų naršyklės plėtinių priklausomybės veiksnių yra įrankių susiskaidymas. Kai jūsų komanda naudoja 15 skirtingų SaaS programų, skirtų CRM, projektų valdymui, rinkodarai el. paštu, sąskaitų faktūrų išrašymui ir analizei, darbuotojai neišvengiamai įdiegia plėtinius, kad užpildytų spragas – automatinio pildymo įrankius, duomenų grandiklius, skirtukų tvarkykles ir kelių platformų jungtis.

Kiekvienas iš šių plėtinių yra galimas stebėjimo vektorius. Sumažinus įrankių išsiplėtimą, sumažėja priklausomybė nuo išplėtimo. „Mewayz“ tai tiesiogiai sprendžia kaip 207 modulių verslo operacinę sistemą, kuri sujungia dešimčių atskirų įrankių funkcijas į vieną saugią platformą. Kadangi 138 000 vartotojų tvarko viską nuo puslapių su nuoroda į biografiją iki el. prekybos parduotuvių, CRM vamzdynų ir turinio planavimo vienoje aplinkoje, poreikis įdiegti rizikingus trečiųjų šalių naršyklės plėtinius labai sumažėja.

Kai jūsų verslo darbo eigos vyksta nuoseklioje, leidimais valdomoje platformoje, o ne išsibarsčiusios po dešimtis skirtukų, kuriems reikia plėtinių, uždarote dažniausiai naudojamus duomenų išfiltravimo kelius, kuriuos išnaudoja plėtiniai.

Dažniausiai užduodami klausimai

Ar „Chrome“ plėtiniai gali pavogti mano slaptažodžius?

Taip. Plėtiniai su webRequest leidimais arba prieiga prie konkretaus puslapio turinio gali perimti formų pateikimus, įskaitant prisijungimo laukus, prieš juos užšifruojant ir siunčiant į serverį. Plėtiniai su slapukų leidimais taip pat gali pavogti seanso prieigos raktus, kurie efektyviai suteikia prieigą prie jūsų paskyrų nereikalaujant tikrojo slaptažodžio. Prieš diegdami visada patikrinkite plėtinio leidimus ir nesuteikite prieigos prie jautrių domenų, jei to nereikalaujama.

Ar „Google“ neleidžia kenkėjiškiems plėtiniams pasiekti „Chrome“ internetinę parduotuvę?

„Google“ naudoja automatinius ir rankinius peržiūros procesus, tačiau jie nėra patikimi. Kenkėjiški plėtiniai ne kartą buvo peržiūrimi ir sukaupė milijonus atsisiuntimų prieš juos pašalinant. Kai kurie plėtiniai pradeda veikti kaip teisėti įrankiai ir tampa kenkėjiški, kai juos įsigijo blogi veikėjai arba po tylaus atnaujinimo. Įmonėms, turinčioms neskelbtinų duomenų, nepakanka pasikliauti vien „Google“ peržiūros procesu; nepriklausomas tikrinimas ir organizaciniai leidžiamieji sąrašai yra būtini papildomi valdikliai.

Kaip dažnai turėčiau tikrinti „Chrome“ plėtinius?

Asmeniniams vartotojams ketvirčio auditas yra pagrįstas pradinis taškas. Verslo vartotojams ar visiems, tvarkantiems jautrius profesinius duomenis, kasmėnesinė peržiūra yra tinkamesnė. Taip pat turėtumėte patikrinti iš karto po bet kokių svarbių saugumo naujienų, susijusių su naršyklės plėtiniais, priėmę naujus komandos narius ir bet kada pastebėję netikėtą naršyklės elgesį, pvz., sulėtėjimą, peradresavimus ar nepažįstamą tinklo veiklą.

Naršyklės sauga prasideda nuo pasirinktų įrankių, kuriuos įdiegiate ir kuriais pasitikite. Jei esate pasirengę sumažinti savo organizacijos matomumą, sujungdami savo verslo operacijas į vieną saugią platformą ir pašalindami priklausomybę nuo plėtinių, dėl kurių kyla pavojus jūsų duomenims, naršykite „Mewayz“ šiandien. Turėdamas planus nuo 19 USD per mėnesį, 207 integruotus modulius ir augančią 138 000 naudotojų bendruomenę, „Mewayz“ suteikia jūsų komandai viską, ko reikia, be naršyklės plėtinių, kurie perkelia jūsų duomenis į kažkieno rankas.