Hacker News

برنامه های افزودنی کروم از داده های مرور کاربران جاسوسی می کنند

برنامه های افزودنی کروم از داده های مرور کاربران جاسوسی می کنند این تجزیه و تحلیل جامع کروم بررسی دقیق اجزای اصلی و مفاهیم گسترده تر آن را ارائه می دهد. حوزه های کلیدی تمرکز محور بحث: مکانیزم های اصلی و حرفه ای...

1 min read Via qcontinuum.substack.com

Mewayz Team

Editorial Team

Hacker News

افزونه‌های Chrome می‌توانند با دسترسی به اطلاعات حساس مانند URLها، کوکی‌ها، ورودی‌های فرم و درخواست‌های شبکه - اغلب بدون اطلاع شما، از داده‌های مرور شما جاسوسی کنند. درک نحوه عملکرد این نظارت و نحوه محافظت از خود برای هر کسی که از مرورگر برای کارهای تجاری یا شخصی استفاده می کند ضروری است.

برنامه‌های افزودنی Chrome چگونه به داده‌های مرور شما دسترسی پیدا می‌کنند؟

وقتی یک برنامه افزودنی Chrome را نصب می‌کنید، مجموعه‌ای از مجوزها را درخواست می‌کند که در فایل manifest.json آن تعریف شده است. بسیاری از کاربران بدون خواندن این درخواست‌های مجوز، روی «افزودن به Chrome» کلیک می‌کنند و ناآگاهانه به برنامه‌های افزودنی دسترسی گسترده‌ای به زندگی دیجیتالی خود می‌دهند.

خطرناک ترین مجوزها عبارتند از:

  • tabs – به برنامه افزودنی اجازه می‌دهد تا URL، عنوان و فاویکون هر برگه‌ای را که باز می‌کنید بخواند، و به طور مؤثر هر وب‌سایتی را که بازدید می‌کنید ردیابی کند.
  • webRequest / webRequestBlocking – به برنامه افزودنی اجازه می‌دهد تا درخواست‌های شبکه را قبل از رسیدن به سرور، از جمله اعتبار ورود به سیستم و نشانه‌های API، رهگیری، بازرسی و حتی اصلاح کند.
  • کوکی‌ها – به همه کوکی‌های ذخیره‌شده در مرورگر شما دسترسی می‌دهد، که می‌توان از آن‌ها برای ربودن جلسات تأیید شده در پلتفرم‌های بانکی، ایمیل و SaaS استفاده کرد.
  • سابقه – گزارش کاملی از تاریخچه مرور شما را ارائه می دهد و به برنامه های افزودنی اجازه می دهد تا نمایه رفتاری دقیقی از فعالیت آنلاین شما ایجاد کنند.
  • ذخیره – افزونه را قادر می‌سازد تا داده‌های پایدار را به صورت محلی بخواند و بنویسد، به طور بالقوه اطلاعات گرفته شده را برای استخراج بعدی ذخیره می‌کند.

حتی برنامه‌های افزودنی که قانونی به نظر می‌رسند - مسدودکننده‌های تبلیغات، چک‌کننده‌های دستور زبان، ابزارهای بهره‌وری - در حال جمع‌آوری داده‌های کاربر در مقیاس و فروش آن به کارگزاران داده یا شرکت‌های تحلیلی دستگیر شده‌اند.

عواقب واقعی جاسوسی برنامه های افزودنی چیست؟

خطرات بسیار فراتر از ناراحتی خفیف حریم خصوصی است. برنامه‌های افزودنی مخرب یا بد طراحی شده آسیب‌های قابل اندازه‌گیری را به افراد و سازمان‌ها وارد کرده است.

در سال 2023، محققان ده‌ها برنامه افزودنی را در فروشگاه وب کروم با پایگاه نصب ترکیبی میلیون‌ها کاربر شناسایی کردند که همگی بی‌سروصدا تاریخچه مرور را به سرورهای خارجی منتقل می‌کردند. یک برنامه افزودنی در معرض خطر در یک محیط شرکتی می‌تواند تحقیقات اختصاصی، داده‌های مشتری، URLهای ابزار داخلی و نشانه‌های احراز هویت را در معرض نمایش بگذارد.

"یک برنامه افزودنی مرورگر با همان سطح اعتماد وب‌سایت‌هایی که بازدید می‌کنید کار می‌کند - اما با امتیازاتی که به طور همزمان به همه سایت‌ها می‌رسد. این باعث می‌شود که آن را به یکی از قدرتمندترین و دست کم گرفته‌شده‌ترین سطوح حمله در محاسبات مدرن تبدیل کند." - دیدگاه محقق امنیتی در مورد خطر برنامه افزودنی مرورگر

برای کسب‌وکارهایی که عملیات‌های حساس را مدیریت می‌کنند - حقوق و دستمزد، داده‌های CRM، داشبوردهای مالی - یک برنامه افزودنی سرکش در ماشین یک کارمند می‌تواند به یک نقض کامل سازمانی تبدیل شود. سطح حمله تقویت می‌شود زیرا برنامه‌های افزودنی بی‌صدا به‌روزرسانی می‌شوند، به این معنی که ابزاری که یک بار ایمن بود می‌تواند پس از اکتساب یا تغییر کد بی‌صدا، مخرب شود.

چگونه می توانید تشخیص دهید کدام برنامه های افزودنی از شما جاسوسی می کنند؟

تشخیص ساده نیست، اما مراحل عملی وجود دارد که می‌توانید همین حالا برای بررسی محیط مرورگر خود بردارید.

با پیمایش به chrome://extensions و بررسی هر برنامه افزودنی نصب شده شروع کنید. روی "جزئیات" روی هر یک کلیک کنید تا مجوزهایی که به آن اعطا شده است را بررسی کنید. به ویژه در مورد برنامه‌های افزودنی که درخواست دسترسی به «همه سایت‌ها» را دارند، زمانی که عملکرد مشخص‌شده‌شان محدود است، محتاط باشید—یک انتخابگر رنگ ساده کاری برای خواندن درخواست‌های شبکه شما ندارد.

همچنین می‌توانید از پانل داخلی DevTools Network Chrome برای نظارت بر ترافیک خروجی در زمانی که یک برنامه افزودنی فعال است استفاده کنید. ابزارهای شخص ثالث مانند Privacy Badger یا نمایشگرهای شبکه مرورگر می‌توانند تماس‌های خارجی غیرمنتظره را به دامنه‌های کارگزار داده پرچم‌گذاری کنند. به‌علاوه، بررسی‌های برنامه‌های افزودنی را در انجمن‌هایی مانند r/chrome Reddit یا وبلاگ‌های امنیتی مستقل مرور کنید، زیرا جامعه معمولاً قبل از اقدام Google در مورد آن، رفتار مشکوکی را نشان می‌دهد.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

چه اقداماتی می توانید برای محافظت از داده های کسب و کار خود در برابر نظارت برنامه های افزودنی انجام دهید؟

حفاظت نیاز به رویکرد لایه‌ای دارد که کنترل‌های فنی را با خط‌مشی سازمانی ترکیب می‌کند.

در سطح فردی، اصل حداقل امتیاز را اعمال کنید: فقط برنامه‌های افزودنی را نصب کنید که کاملاً ضروری هستند، از ناشران معتبر با خط‌مشی‌های رازداری شفاف تهیه شده‌اند و به طور منظم توسط محققان امنیتی مستقل بازرسی می‌شوند. هر برنامه افزودنی را که در 30 روز گذشته بطور فعال استفاده نکرده اید را حذف کنید.

در سطح سازمانی، کسب‌وکارها باید فهرست‌های مجاز برنامه‌های افزودنی را از طریق Google Workspace Admin یا ابزارهای مدیریت مرورگر سازمانی اجرا کنند. این بدان معناست که فقط برنامه‌های افزودنی از پیش تأیید شده و تأیید شده می‌توانند بر روی دستگاه‌های شرکت نصب شوند. ممیزی های امنیتی منظم، آموزش کارکنان در مورد بهداشت مرورگر، و نظارت بر جستارهای DNS خروجی همگی می توانند قرار گرفتن در معرض را کاهش دهند.

متمرکز کردن عملیات کسب و کار خود بر روی پلتفرم‌هایی با موقعیت‌های امنیتی قوی، سطح حمله شما را نیز به‌طور چشمگیری کاهش می‌دهد. وقتی تیم شما از یک سیستم عامل تجاری واحد و یکپارچه به جای مجموعه‌ای از ابزارهای مبتنی بر مرورگر که به ده‌ها برنامه افزودنی نیاز دارد، کار می‌کند، بسیاری از بردارهای مجوزی را که افزونه‌ها از آنها سوء استفاده می‌کنند حذف می‌کنید.

چگونه یک پلتفرم کسب و کار یکپارچه خطر گسترش شما را کاهش می دهد؟

یکی از نادیده گرفته‌شده‌ترین محرک‌های وابستگی افزونه مرورگر، تکه تکه شدن ابزار است. وقتی تیم شما از 15 برنامه SaaS مختلف برای CRM، مدیریت پروژه، بازاریابی ایمیلی، صورت‌حساب و تجزیه و تحلیل استفاده می‌کند، کارمندان به ناچار برنامه‌های افزودنی را برای پر کردن شکاف‌ها نصب می‌کنند - ابزارهای پر کردن خودکار، خراش‌دهنده‌های داده، مدیران برگه‌ها و رابط‌های بین پلتفرمی.

هر یک از این برنامه‌های افزودنی یک بردار نظارت بالقوه است. کاهش گسترش ابزار، وابستگی افزونه را کاهش می دهد. Mewayz به طور مستقیم به این موضوع به عنوان یک سیستم عامل تجاری 207 ماژول اشاره می کند که عملکرد ده ها ابزار مستقل را در یک پلت فرم واحد و ایمن ادغام می کند. با 138000 کاربر که همه چیز را از صفحات پیوند در بیو گرفته تا ویترین فروشگاه‌های تجارت الکترونیک، خطوط لوله CRM و زمان‌بندی محتوا در یک محیط مدیریت می‌کنند، نیاز به نصب برنامه‌های افزودنی مرورگر شخص ثالث به شدت کاهش می‌یابد.

وقتی گردش‌های کاری کسب‌وکار شما در یک پلت‌فرم منسجم و کنترل‌شده با مجوز زندگی می‌کنند - به جای پراکنده شدن در ده‌ها برگه که برای عملکرد به برنامه‌های افزودنی نیاز دارند، رایج‌ترین مسیرهای استخراج داده را می‌بندید که برنامه‌های افزودنی از آنها سوء استفاده می‌کنند.

سوالات متداول

آیا افزونه‌های Chrome می‌توانند گذرواژه‌های من را بدزدند؟

بله. برنامه‌های افزودنی با مجوزهای webRequest یا دسترسی به محتوای صفحه خاص می‌توانند ارسال‌های فرم، از جمله فیلدهای ورود، را قبل از رمزگذاری و ارسال به سرور، رهگیری کنند. برنامه‌های افزودنی با مجوزهای کوکی‌ها همچنین می‌توانند نشانه‌های جلسه را بدزدند، که بدون نیاز به رمز عبور واقعی شما به طور مؤثر به حساب‌های شما دسترسی می‌دهند. همیشه قبل از نصب، مجوزهای یک برنامه افزودنی را تأیید کنید و اگر به شدت مورد نیاز نیست، از دادن دسترسی به دامنه های حساس خودداری کنید.

آیا Google از دسترسی برنامه‌های افزودنی مخرب به فروشگاه وب Chrome جلوگیری می‌کند؟

Google از فرآیندهای بازبینی خودکار و دستی استفاده می‌کند، اما آنها بی‌خطا نیستند. افزونه‌های مخرب بارها و بارها مورد بررسی قرار گرفته و میلیون‌ها بار دانلود شده قبل از حذف شدن. برخی از برنامه‌های افزودنی به عنوان ابزارهای قانونی شروع می‌شوند و پس از به‌دست‌آمدن توسط بازیگران بد یا پس از به‌روزرسانی بی‌صدا، به مخرب تبدیل می‌شوند. برای کسب و کارهایی که داده‌های حساس دارند، صرفاً اتکا به فرآیند بررسی Google کافی نیست. بررسی مستقل و لیست مجوزهای سازمانی، کنترل‌های اضافی لازم هستند.

چند وقت یکبار باید افزونه های Chrome خود را بازرسی کنم؟

برای کاربران شخصی، حسابرسی سه ماهه یک مبنای منطقی است. برای کاربران تجاری یا هر کسی که اطلاعات حساس حرفه ای را مدیریت می کند، بررسی ماهانه مناسب تر است. همچنین باید بلافاصله پس از هرگونه اخبار امنیتی مهم مربوط به برنامه‌های افزودنی مرورگر، پس از ورود اعضای تیم جدید، و هر زمان که متوجه رفتار غیرمنتظره مرورگر مانند کاهش سرعت، تغییر مسیر، یا فعالیت شبکه‌های خارجی ناآشنا شدید، حسابرسی کنید.

امنیت مرورگر با انتخاب هایی که در مورد ابزارهایی که نصب می کنید و به آنها اعتماد می کنید شروع می شود. اگر می‌خواهید با ادغام فعالیت‌های کسب‌وکارتان در یک پلت‌فرم واحد و ایمن - با حذف وابستگی به برنامه‌های افزودنی که داده‌های شما را در معرض خطر قرار می‌دهد، قرار گرفتن در معرض سازمان خود را کاهش دهید - امروز Mewayz را کاوش کنید. Mewayz با برنامه‌هایی که از 19 دلار در ماه شروع می‌شود، 207 ماژول یکپارچه، و جامعه رو به رشدی از 138000 کاربر، همه چیزهایی را که به تیم شما نیاز دارد، بدون افزونه‌های مرورگر که داده‌های شما را در دست دیگران قرار می‌دهند، ارائه می‌دهد.