Пашырэнні Chrome шпіёняць за дадзенымі прагляду карыстальнікаў

Пашырэнні Chrome могуць шпіёніць за вашымі данымі прагляду, атрымліваючы доступ да такой канфідэнцыяльнай інфармацыі, як URL-адрасы, файлы cookie, увод формаў і сеткавыя запыты — часта без вашага ведама. Разуменне таго, як працуе гэта сачэнне і як абараніць сябе, важна для ўсіх, хто выкарыстоўвае браўзер для дзелавых або асабістых задач.

Як пашырэнні Chrome атрымліваюць доступ да вашых даных прагляду?

Калі вы ўсталёўваеце пашырэнне Chrome, яно запытвае набор дазволаў, вызначаных у файле manifest.json. Многія карыстальнікі націскаюць «Дадаць у Chrome», не чытаючы гэтыя запыты на дазвол, несвядома даючы пашырэнням шырокі доступ да свайго лічбавага жыцця.

Самыя небяспечныя дазволы ўключаюць:

• ўкладкі – Дазваляе пашырэнню счытваць URL, загаловак і значок кожнай адкрытай вамі ўкладкі, эфектыўна адсочваючы кожны вэб-сайт, які вы наведваеце.
• webRequest / webRequestBlocking – Дазваляе пашырэнню перахопліваць, правяраць і нават змяняць сеткавыя запыты да таго, як яны дасягнуць сервера, у тым ліку ўліковыя дадзеныя для ўваходу і токены API.
• кукі-файлы – Дае доступ да ўсіх файлаў cookie, якія захоўваюцца ў вашым браўзеры, якія могуць быць выкарыстаны для ўзлому аўтэнтыфікаваных сеансаў на платформах банкаўскага абслугоўвання, электроннай пошты і SaaS.
• гісторыя – забяспечвае поўны журнал вашай гісторыі прагляду, што дазваляе пашырэнням ствараць падрабязны паводніцкі профіль вашай дзейнасці ў Інтэрнэце.
• захоўванне – дазваляе пашырэнню чытаць і запісваць пастаянныя даныя лакальна, патэнцыйна захоўваючы атрыманую інфармацыю для наступнага выкрадання.

Нават пашырэнні, якія выглядаюць законнымі — блакіроўшчыкі рэкламы, сродкі праверкі граматыкі, інструменты павышэння прадукцыйнасці — былі злоўлены на масавым зборы карыстальніцкіх даных і продажы іх брокерам дадзеных або аналітычным фірмам.

Якія ў рэальным свеце наступствы шпіянажу пашырэнняў?

Рызыкі выходзяць далёка за межы лёгкага дыскамфорту ў прыватнасці. Шкоднасныя або дрэнна распрацаваныя пашырэнні нанеслі адчувальную шкоду асобным асобам і арганізацыям.

У 2023 годзе даследчыкі вызначылі дзясяткі пашырэнняў у Інтэрнэт-краме Chrome з аб'яднанай базай усталяванняў з мільёнаў карыстальнікаў, усе з якіх ціха перадавалі гісторыю прагляду на знешнія серверы. Адно скампраметаванае пашырэнне ў карпаратыўным асяроддзі можа раскрыць запатэнтаваныя даследаванні, кліенцкія даныя, URL-адрасы ўнутраных інструментаў і токены аўтэнтыфікацыі.

"Пашырэнне для браўзера працуе з тым жа ўзроўнем даверу, што і вэб-сайты, якія вы наведваеце, але з прывілеямі, якія распаўсюджваюцца на ўсе сайты адначасова. Гэта робіць яго адным з самых магутных і недаацэненых паверхняў для атакі ў сучасных вылічэннях." — Погляд даследчыкаў бяспекі на рызыку пашырэння браўзера

Для прадпрыемстваў, якія кіруюць канфідэнцыяльнымі аперацыямі — разлікам заработнай платы, данымі CRM, фінансавымі панэлямі — падробленае пашырэнне на машыне аднаго супрацоўніка можа стаць поўным арганізацыйным парушэннем. Паверхня атакі ўзмацняецца, таму што пашырэнні абнаўляюцца бясшумна, што азначае, што некалі бяспечны інструмент можа стаць шкоднасным пасля набыцця або незаўважнай змены кода.

Як вы можаце вызначыць, якія пашырэнні шпіёняць за вамі?

Выяўленне не простае, але ёсць практычныя крокі, якія вы можаце зрабіць прама зараз, каб праверыць асяроддзе браўзера.

Пачніце з пераходу да chrome://extensions і прагляду кожнага ўсталяванага пашырэння. Націсніце "Падрабязнасці" на кожным з іх, каб праверыць дазволы, якія яму былі прадастаўлены. Будзьце асабліва асцярожныя з пашырэннямі, якія запытваюць доступ да "ўсіх сайтаў", калі іх заяўленая функцыя вузкая - простаму выбару колеру няма справы да чытання вашых сеткавых запытаў.

Вы таксама можаце выкарыстоўваць убудаваную ў Chrome панэль DevTools Network для маніторынгу выходнага трафіку, калі пашырэнне актыўнае. Інструменты іншых вытворцаў, такія як Privacy Badger або сеткавыя маніторы браўзера, могуць адзначаць нечаканыя знешнія выклікі да даменаў брокераў дадзеных. Акрамя таго, праглядайце агляды пашырэнняў на такіх форумах, як r/chrome Reddit, або ў незалежных блогах па бяспецы, бо супольнасць часта выяўляе падазроныя паводзіны яшчэ да таго, як Google прыме меры.

Якія крокі вы можаце зрабіць, каб абараніць свае бізнес-даныя ад дадатковага назірання?

Абарона патрабуе шматслойнага падыходу, які спалучае тэхнічны кантроль з арганізацыйнай палітыкай.

На індывідуальным узроўні прымяняйце прынцып найменшых прывілеяў: усталёўвайце толькі неабходныя пашырэнні, атрыманыя ад аўтарытэтных выдаўцоў з празрыстай палітыкай прыватнасці і рэгулярна правяраюцца незалежнымі даследчыкамі бяспекі. Выдаліце ўсе пашырэнні, якімі вы актыўна не карысталіся за апошнія 30 дзён.

На арганізацыйным узроўні прадпрыемствы павінны выконваць белыя спісы пашырэнняў праз Google Workspace Admin або інструменты кіравання карпаратыўнымі браўзерамі. Гэта азначае, што толькі папярэдне зацверджаныя, правераныя пашырэнні можна ўсталёўваць на прылады кампаніі. Рэгулярныя праверкі бяспекі, навучанне супрацоўнікаў гігіене браўзера і маніторынг выходных запытаў DNS могуць паменшыць уздзеянне.

Цэнтралізацыя вашых бізнес-аперацый на платформах з моцнай бяспекай таксама рэзка памяншае вашу паверхню для атакі. Калі ваша каманда працуе з адзінай інтэграванай бізнес-аперацыйнай сістэмы, а не з мноства інструментаў на аснове браўзера, якія патрабуюць дзесяткаў пашырэнняў, вы пазбаўляецеся многіх вектараў дазволаў, якія выкарыстоўваюць пашырэнні.

Як уніфікаваная бізнес-платформа зніжае рызыку пашырэння?

Адным з найбольш недаацэненых фактараў залежнасці ад пашырэнняў браўзера з'яўляецца фрагментацыя інструмента. Калі ваша каманда выкарыстоўвае 15 розных праграм SaaS для CRM, кіравання праектамі, маркетынгу па электроннай пошце, выстаўлення рахункаў і аналітыкі, супрацоўнікі непазбежна ўсталёўваюць пашырэнні, каб пераадолець прабелы — інструменты аўтазапаўнення, скрабкі даных, менеджэры ўкладак і кросплатформенныя злучальнікі.

Кожнае з гэтых пашырэнняў з'яўляецца патэнцыяльным вектарам сачэння. Памяншэнне разрастання інструментаў памяншае залежнасць ад пашырэння. Mewayz разглядае гэта непасрэдна як бізнес-аперацыйную сістэму з 207 модуляў, якая аб'ядноўвае функцыі дзясяткаў аўтаномных інструментаў у адзіную бяспечную платформу. З 138 000 карыстальнікаў, якія кіруюць усім: ад старонак са спасылкамі ў біяграфіі да вітрын электроннай камерцыі, канвеераў CRM і планавання змесціва ў адным асяроддзі, неабходнасць усталёўваць рызыкоўныя староннія пашырэнні браўзера рэзка зніжаецца.

Калі працоўныя працэсы вашага бізнесу знаходзяцца ў цэласнай платформе з кантролем дазволаў, а не раскіданыя па дзясятках укладак, для функцыянавання якіх патрабуюцца пашырэнні, вы закрываеце найбольш распаўсюджаныя шляхі крадзяжу даных, якія выкарыстоўваюць пашырэнні.

Часта задаюць пытанні

Ці могуць пашырэнні Chrome красці мае паролі?

Так. Пашырэнні з дазволамі webRequest або доступам да пэўнага змесціва старонкі могуць перахопліваць адпраўленыя формы, у тым ліку палі для ўваходу, перш чым яны будуць зашыфраваны і адпраўлены на сервер. Пашырэнні з дазволам cookies таксама могуць красці токены сеанса, якія фактычна даюць доступ да вашых уліковых запісаў без неабходнасці вашага сапраўднага пароля. Заўсёды правярайце дазволы пашырэння перад устаноўкай і пазбягайце прадастаўлення доступу да адчувальных даменаў, калі гэта не патрабуецца.

Ці прадухіляе Google доступ шкоднасных пашырэнняў да Інтэрнэт-крамы Chrome?

Google выкарыстоўвае аўтаматызаваныя і ручныя працэсы праверкі, але яны не надзейныя. Шкоднасныя пашырэнні неаднаразова праходзілі праверку і назапашвалі мільёны загрузак, перш чым былі выдалены. Некаторыя пашырэнні пачынаюцца як законныя інструменты і становяцца шкоднаснымі пасля таго, як іх набылі зламыснікі або пасля ціхага абнаўлення. Спадзявацца выключна на працэс разгляду Google недастаткова для прадпрыемстваў з канфідэнцыяльнымі данымі; незалежная праверка і спісы дазволеных арганізацый з'яўляюцца неабходнымі дадатковымі сродкамі кантролю.

Як часта я павінен правяраць свае пашырэнні Chrome?

Для асабістых карыстальнікаў штоквартальны аўдыт з'яўляецца разумным базавым паказчыкам. Для бізнес-карыстальнікаў або тых, хто апрацоўвае канфідэнцыяльныя прафесійныя даныя, больш падыходзіць штомесячны агляд. Вы таксама павінны праверыць адразу пасля любых важных навін бяспекі, звязаных з пашырэннямі браўзера, пасля ўключэння новых членаў каманды і кожны раз, калі вы заўважылі нечаканыя паводзіны браўзера, такія як запаволенне, перанакіраванне або незнаёмая выходная сеткавая актыўнасць.

Бяспека браўзера пачынаецца з выбару інструментаў, якія вы ўсталёўваеце і якім давяраеце. Калі вы гатовыя знізіць уздзеянне вашай арганізацыі шляхам кансалідацыі вашых бізнес-аперацый на адзінай бяспечнай платформе, ухіляючы залежнасць ад пашырэння, якая ставіць пад пагрозу вашы даныя, вывучыце Mewayz сёння. З планамі ад 19 долараў у месяц, 207 інтэграванымі модулямі і расце супольнасцю з 138 000 карыстальнікаў, Mewayz дае вашай камандзе ўсё неабходнае без пашырэнняў браўзера, якія перадаюць вашы даныя ў чужыя рукі.