ส่วนขยายเบราว์เซอร์ที่คุณชื่นชอบอาจขโมยรหัสผ่านของคุณ
ประเด็นที่สำคัญ
- ส่วนขยายส่วนใหญ่ใน Chrome เว็บสโตร์ต้องการการอนุญาตที่เป็นอันตราย ซึ่งอาจถูกนำไปใช้ในทางที่ผิดเพื่อจุดประสงค์ที่เป็นอันตราย
- เว็บเบราว์เซอร์ทั้งหมดพยายามแก้ไขปัญหาส่วนขยายที่เอาแต่ใจ
- Manifest V3 ของ Google เป็นโซลูชันหนึ่งที่จัดการปัญหาบางอย่างได้ แต่แทบไม่มีผลในการควบคุมสิทธิ์ที่มีอยู่ในส่วนขยาย
![ฟิลด์ของภาพล็อคบนพื้นหลังศูนย์และหนึ่ง](/f/a9362c59b8af667ba9b1fcfc7f4a4347.jpg)
รูปภาพ NicoElNino / Getty
จำส่วนขยายเบราว์เซอร์ตรวจการสะกดที่ขอสิทธิ์ในการอ่านและวิเคราะห์ทุกสิ่งที่คุณพิมพ์ได้หรือไม่ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เตือนว่ามีโอกาสสูงที่ส่วนขยายบางส่วนจะใช้ความยินยอมของคุณในทางที่ผิดเพื่อขโมยรหัสผ่านที่คุณเจาะเข้าไปในเว็บเบราว์เซอร์
เพื่อช่วยให้ผู้ใช้ทราบถึงอันตรายของส่วนขยายเว็บ บริษัทรักษาความปลอดภัยดิจิทัล Talon ได้วิเคราะห์ Chrome เว็บสโตร์เพื่อรายงานว่ามีส่วนขยายหลายหมื่นรายการเข้าถึงการอนุญาตที่น่าเป็นห่วง เช่น ความสามารถในการเปลี่ยนข้อมูลในไซต์ที่เข้าชมทั้งหมด ดาวน์โหลดไฟล์ เข้าถึงกิจกรรมการดาวน์โหลด และ มากกว่า.
“ส่วนขยายที่ได้รับความนิยมจำนวนมากทำให้ผู้ใช้มีความเสี่ยง” ผู้ร่วมก่อตั้งและ CTO ของ Talon Cyber SecurityOhad Bobrov อธิบายให้ Lifewire ทราบทางอีเมล “[แม้แต่] ส่วนขยายที่ไม่เป็นพิษเป็นภัยก็อาจมีช่องโหว่ในโค้ดหรือซัพพลายเชน และอาจอ่อนไหวต่อการเข้ายึดครองโดยผู้มุ่งร้าย”
ส่วนขยายเอาแต่ใจ
![ปิดช่อง URL ของเบราว์เซอร์](/f/e44eee9e2d17d1ee4bc57c5f38bb12f8.jpg)
skylarvision / 32 ภาพ / Pixabay
Talon โต้แย้งว่าส่วนขยายนั้นมอบความคุ้มค่าสูงสุดให้กับผู้ใช้ และนำคุณสมบัติที่มีประโยชน์มากมายมาสู่เว็บเบราว์เซอร์ เช่น การบล็อกโฆษณา การตรวจสอบการสะกด การจัดการรหัสผ่าน และอื่นๆ อย่างไรก็ตาม เพื่อนำฟังก์ชันการทำงานเหล่านี้มาใช้ ส่วนขยายจำเป็นต้องได้รับการอนุญาตอย่างกว้างๆ เพื่อแก้ไขเบราว์เซอร์ พฤติกรรมของเบราว์เซอร์ และเว็บไซต์ที่เข้าชม
“โดยธรรมชาติแล้ว ระดับการควบคุมและการเข้าถึงจากบุคคลที่สามสามารถก่อให้เกิดภัยคุกคามด้านความปลอดภัยและความเป็นส่วนตัวที่สำคัญต่อผู้ใช้ได้” Talon อธิบาย
บริษัทเสริมว่าแม้จะมีกระบวนการตรวจสอบของ Google แต่ส่วนขยายที่เป็นอันตรายจำนวนมากก็สามารถผ่านพ้นช่องว่างได้และจบลงด้วยผลเสีย ผู้ใช้นับล้าน. การวิเคราะห์พบว่ากว่า 60% ของส่วนขยายทั้งหมดบน Chrome เว็บสโตร์มีสิทธิ์ในการอ่านหรือเปลี่ยนแปลงข้อมูลและกิจกรรมของผู้ใช้
ตัวอย่างเช่น Talon กล่าวว่าตัวตรวจสอบการสะกดและไวยากรณ์ขออนุญาตในการฉีดสคริปต์ที่ทำงานจากบริบทของหน้าเว็บเพื่อวิเคราะห์ข้อความของผู้ใช้ โดยปกติแล้วจะตรวจสอบช่องป้อนข้อมูลหรือบันทึกการกดแป้นของผู้ใช้ด้วยวิธีอื่น บริษัทกล่าวว่าสิ่งนี้ช่วยให้ส่วนขยายสามารถรวบรวมและกรองข้อมูลใด ๆ บนหน้าเว็บได้อย่างมีประสิทธิภาพรวมถึง รหัสผ่านและข้อมูลสำคัญอื่นๆ.
จากนั้นจะมีการบล็อกโฆษณา ซึ่งประกอบเป็นส่วนขยายอันดับต้นๆ ของ Chrome เว็บสโตร์ ฟังก์ชันนี้เกี่ยวข้องกับการลบองค์ประกอบออกจากเพจและต้องการการอนุญาตเช่นเดียวกับเครื่องตรวจการสะกด
"ไม่ทราบว่าข้อมูลใดถูกขโมยไป แต่อาจขโมยข้อมูลใด ๆ จากหน้าใดก็ได้ รวมทั้งรหัสผ่าน"
ในทำนองเดียวกัน สิทธิ์ที่มอบให้กับการแชร์หน้าจอและส่วนขยายการประชุมทางวิดีโอเพื่อทำงานตามที่ตั้งใจไว้ ก็อาจถูกนำไปใช้ในทางที่ผิดเพื่อจับภาพหน้าจอและเสียงของผู้ใช้
"สอง ช่องโหว่ ถูกพบใน uBlock Origin ในช่วงไม่กี่เดือนที่ผ่านมา ซึ่งทำให้ผู้โจมตีสามารถใช้ประโยชน์จากการอนุญาตของส่วนขยายเพื่ออ่านและเปลี่ยนแปลงข้อมูลในไซต์ทั้งหมด และเพื่อขโมยข้อมูลผู้ใช้ที่มีความละเอียดอ่อน” Bobrov บอกเรา
“ตัวบล็อกโฆษณาอย่าง uBlock Origin นั้นได้รับความนิยมอย่างมาก และโดยทั่วไปแล้วจะสามารถเข้าถึงทุกหน้าที่ผู้ใช้เข้าชมได้ เบื้องหลัง พวกเขากำลังขับเคลื่อนโดยรายการตัวกรองที่ชุมชนจัดหา - ตัวเลือก CSS ที่กำหนดองค์ประกอบที่จะบล็อก รายการเหล่านี้ไม่น่าเชื่อถือทั้งหมด ดังนั้นจึงมีข้อจำกัดในการป้องกันกฎที่เป็นอันตรายจากการขโมยข้อมูลผู้ใช้” เขียน Gareth Heyes นักวิจัยด้านความปลอดภัยในขณะที่เขาสาธิตการใช้ช่องโหว่ในส่วนขยายเพื่อขโมยรหัสผ่าน
Bobrov ยังแชร์ด้วยว่าในปี 2019 ความนิยม The Great Suspender ส่วนขยายซึ่งมีผู้ใช้มากกว่าสองล้านรายถูกซื้อโดยผู้ประสงค์ร้ายซึ่งยังคงใช้ประโยชน์จากการอนุญาตเพื่อฉีดสคริปต์เพื่อเรียกใช้โค้ดที่โฮสต์จากระยะไกลที่ยังไม่ได้ตรวจสอบในหน้าเว็บ
“ไม่ทราบว่าข้อมูลใดถูกขโมยไป” เขากล่าว “แต่มันอาจขโมยอะไรก็ได้จากทุกหน้ารวมถึงรหัสผ่าน”
ไม่มีทางออกที่แท้จริง
![ภาพระยะใกล้ของจอภาพและเว็บเบราว์เซอร์](/f/e5c5708bab2f3acf950600e520b5a947.jpg)
ริชชี่ เกรท / Unsplash
Bobrov กล่าวว่า Chrome และเว็บเบราว์เซอร์ชั้นนำอื่น ๆ เกือบทั้งหมดกำลังทำงานเพื่อลดความเสี่ยงด้านความปลอดภัยที่เกิดจาก ส่วนขยาย ไม่เพียงแต่ปรับปรุงกระบวนการตรวจสอบ แต่ยังจำกัดความสามารถบางอย่างของ ส่วนขยาย
ขั้นตอนล่าสุดอย่างหนึ่งที่ Bobrov ชี้ให้เห็นคือ .ของ Google รายการ V3. เขาบอกว่าสำหรับผู้ใช้ทั่วไป ความแตกต่างที่เห็นได้ชัดเจนที่สุด Manifest V3 จะนำมาสู่ ส่วนขยายเป็นการห้ามโดยสมบูรณ์ในโค้ดที่โฮสต์จากระยะไกลและการเปลี่ยนแปลงวิธีที่ส่วนขยายแก้ไขเว็บ คำขอ อย่างไรก็ตาม เขาเสริมว่าในด้านลบ Manifest V3 ถูกวิพากษ์วิจารณ์ว่าเป็นเพราะขัดขวางตัวบล็อกโฆษณาอย่างรุนแรง
“แนวโน้มที่สำคัญที่สุดคือการปิดช่องว่างด้านความปลอดภัย เพิ่มการมองเห็นและการควบคุมของผู้ใช้ปลายทาง (เช่น ไซต์ใดอนุญาตให้เรียกใช้ส่วนขยาย) และห้ามโค้ดที่ตรวจทานไม่ได้จากส่วนขยาย” Bobrov กล่าวว่า. “การเปลี่ยนแปลงบางอย่างรวมอยู่ใน Manifest V3 ของ Google อย่างไรก็ตาม ไม่มีการเปลี่ยนแปลงใด ๆ ที่เปลี่ยนแปลงการอนุญาตที่มีให้กับส่วนขยายอย่างมาก "