Chrome kengaytmalari foydalanuvchilarning koʻrish maʼlumotlariga josuslik qiladi

Chrome kengaytmalari URL manzillari, cookie-fayllar, shakl kiritishlari va tarmoq soʻrovlari kabi maxfiy maʼlumotlarga kirish orqali brauzer maʼlumotlaringizga josuslik qilishi mumkin (koʻpincha sizdan xabarsiz). Bu kuzatuv qanday ishlashini va oʻzingizni qanday himoya qilishni tushunish brauzerdan biznes yoki shaxsiy vazifalar uchun foydalanadigan har bir kishi uchun zarur.

Chrome kengaytmalari brauzer ma'lumotlaringizga qanday kirishadi?

Chrome kengaytmasini oʻrnatganingizda, u oʻzining manifest.json faylida belgilangan ruxsatlar toʻplamini soʻraydi. Ko‘pgina foydalanuvchilar ushbu ruxsat so‘rovlarini o‘qimay turib, “Chrome’ga qo‘shish” tugmasini bosadi va o‘zlari bilmagan holda kengaytmalarga ularning raqamli hayotlariga keng kirish huquqini beradi.

Eng xavfli ruxsatlarga quyidagilar kiradi:

• tablar – Kengaytmaga siz ochgan har bir sahifaning URL manzili, sarlavhasi va favikonini oʻqish, tashrif buyurgan har bir veb-saytni samarali kuzatish imkonini beradi.
• webRequest / webRequestBlocking – Kengaytma tarmoq soʻrovlarini serverga yetib borgunga qadar, jumladan, kirish hisob maʼlumotlari va API tokenlarini ushlab turish, tekshirish va hatto oʻzgartirish imkonini beradi.
• cookie-fayllar – Brauzeringizda saqlangan barcha cookie-fayllarga kirish imkonini beradi, ulardan bank, elektron pochta va SaaS platformalarida autentifikatsiya qilingan seanslarni o‘g‘irlash uchun foydalanish mumkin.
• tarix – Brauzer tarixining to‘liq jurnalini taqdim etadi, bu kengaytmalarga onlayn faoliyatingizning batafsil xulq-atvori profilini yaratish imkonini beradi.
• saqlash – Kengaytmaga doimiy ma’lumotlarni mahalliy o‘qish va yozish imkonini beradi, keyinchalik olib tashlash uchun olingan ma’lumotlarni saqlashi mumkin.

Hatto qonuniy ko'rinadigan kengaytmalar (reklama blokerlari, grammatika tekshirgichlari, mahsuldorlik vositalari) ham foydalanuvchi ma'lumotlarini keng miqyosda yig'ib, ma'lumotlar brokerlari yoki tahliliy firmalarga sotayotganda ushlangan.

Kengaytma josusligining haqiqiy oqibatlari qanday?

Xavflar maxfiylik bilan bog'liq engil noqulaylikdan ham oshib ketadi. Zararli yoki noto‘g‘ri ishlab chiqilgan kengaytmalar jismoniy shaxslarga ham, tashkilotlarga ham jiddiy zarar yetkazdi.

2023-yilda tadqiqotchilar Chrome internet-do‘konida millionlab foydalanuvchilarning umumiy o‘rnatish bazasiga ega bo‘lgan o‘nlab kengaytmalarni aniqladilar, ularning barchasi brauzer tarixini tashqi serverlarga jimgina uzatadi. Korporativ muhitda bitta buzilgan kengaytma xususiy tadqiqotlar, mijoz maʼlumotlari, ichki vosita URL manzillari va autentifikatsiya tokenlarini fosh qilishi mumkin.

"Brauzer kengaytmasi siz tashrif buyurgan veb-saytlar bilan bir xil ishonch darajasida ishlaydi - lekin bir vaqtning o'zida har bir saytga kirish huquqiga ega. Bu uni zamonaviy kompyuterlardagi eng kuchli va kam baholangan hujum maydonlaridan biriga aylantiradi." — Xavfsizlik tadqiqotchisining brauzer kengaytmasi xavfi bo‘yicha nuqtai nazari

Maosh, CRM ma'lumotlari, moliyaviy boshqaruv paneli kabi nozik operatsiyalarni boshqaradigan korxonalar uchun bitta xodimning kompyuteridagi noto'g'ri kengaytma to'liq tashkiliy buzilishga aylanishi mumkin. Hujum yuzasi kuchaytirildi, chunki kengaytmalar jimgina yangilanadi, ya'ni bir marta xavfsiz vosita sotib olingandan yoki sokin kod o'zgartirilgandan keyin zararli bo'lishi mumkin.

Qaysi kengaytmalar sizga josuslik qilayotganini qanday aniqlash mumkin?

Aniqlash oson emas, lekin brauzer muhitini tekshirish uchun hozir bajarishingiz mumkin bo'lgan amaliy qadamlar mavjud.

chrome://extensions sahifasiga oʻting va har bir oʻrnatilgan kengaytmani koʻrib chiqing. Berilgan ruxsatlarni tekshirish uchun har birida "Tafsilotlar" tugmasini bosing. Ayniqsa, “barcha saytlar”ga kirishni soʻraydigan kengaytmalardan ehtiyot boʻling, agar ularning funksiyasi tor boʻlsa — oddiy rang tanlash qurilmasi tarmoq soʻrovlarini oʻqish bilan shugʻullanmaydi.

Shuningdek, kengaytma faol boʻlganda chiquvchi trafikni kuzatish uchun Chrome’ning oʻrnatilgan DevTools Network panelidan ham foydalanishingiz mumkin. Privacy Badger yoki brauzer tarmog'i monitorlari kabi uchinchi tomon vositalari ma'lumotlar brokeri domenlariga kutilmagan tashqi qo'ng'iroqlarni belgilashi mumkin. Bundan tashqari, Reddit’ning r/chrome yoki mustaqil xavfsizlik bloglari kabi forumlarda kengaytmalar sharhlarini ko‘rib chiqing, chunki hamjamiyat ko‘pincha Google bunga qarshi harakat qilishidan oldin shubhali xatti-harakatlarga duch keladi.

Biznes ma'lumotlaringizni kengaytma kuzatuvidan himoya qilish uchun qanday choralar ko'rishingiz mumkin?

Himoya texnik nazoratni tashkiliy siyosat bilan birlashtirgan qatlamli yondashuvni talab qiladi.

Individual darajada eng kam imtiyoz tamoyilini qo'llang: faqat qat'iy zarur bo'lgan, shaffof maxfiylik siyosatiga ega nufuzli nashriyotlardan olingan va mustaqil xavfsizlik tadqiqotchilari tomonidan muntazam tekshiriladigan kengaytmalarni o'rnating. Oxirgi 30 kun ichida faol foydalanmagan kengaytmalarni olib tashlang.

Tashkilot darajasida korxonalar Google Workspace administratori yoki korporativ brauzerni boshqarish vositalari orqali kengaytmalarga ruxsat berish roʻyxatini joriy qilishi kerak. Bu kompaniya qurilmalariga faqat oldindan tasdiqlangan, tekshirilgan kengaytmalarni o'rnatish mumkinligini anglatadi. Doimiy xavfsizlik tekshiruvlari, xodimlarni brauzer gigienasi bo‘yicha o‘qitish va chiquvchi DNS so‘rovlarini kuzatish zararlanish xavfini kamaytiradi.

Kuchli xavfsizlik pozitsiyalariga ega platformalarda biznes operatsiyalaringizni markazlashtirish ham hujum darajasini keskin kamaytiradi. Agar sizning jamoangiz oʻnlab kengaytmalarni talab qiladigan brauzerga asoslangan vositalarning yamoqlari oʻrniga yagona, integratsiyalashgan biznes operatsion tizimida ishlayotgan boʻlsa, siz kengaytmalar ishlatadigan koʻplab ruxsat vektorlarini oʻchirib tashlaysiz.

Yagona biznes platformasi kengaytma xavfini qanday kamaytiradi?

Brauzer kengaytmalariga bog'liqlikning eng kam baholangan drayverlaridan biri bu asboblarning parchalanishidir. Jamoangiz CRM, loyihalarni boshqarish, elektron pochta marketingi, hisob-faktura va tahlillar uchun 15 xil SaaS ilovalaridan foydalansa, xodimlar boʻshliqlarni bartaraf etish uchun kengaytmalarni oʻrnatishi muqarrar - avtomatik toʻldirish vositalari, maʼlumotlar qirgʻichlari, tab menejerlari va platformalararo ulagichlar.

Ushbu kengaytmalarning har biri potentsial kuzatuv vektoridir. Asbobning tarqalishini kamaytirish kengaytmaga bog'liqlikni kamaytiradi. Mewayz buni to'g'ridan-to'g'ri 207 modulli biznes operatsion tizimi sifatida ko'rib chiqadi, u o'nlab mustaqil vositalarning funktsiyalarini yagona, xavfsiz platformada birlashtiradi. 138 000 foydalanuvchi bio-sahifalardan tortib, elektron tijorat doʻkonlari, CRM quvurlari va bitta muhit ichida kontentni rejalashtirishgacha hamma narsani boshqarayapti, uchinchi tomon brauzerlarining xavfli kengaytmalarini oʻrnatish zarurati keskin kamayadi.

Biznesingizning ish jarayonlari kengaytmalarni talab qiluvchi oʻnlab ichki oynalar boʻylab tarqalish oʻrniga, izchil, ruxsatlar bilan boshqariladigan platforma ichida yashasa, siz kengaytmalardan foydalanadigan eng keng tarqalgan maʼlumotlarni oʻchirish yoʻllarini yopasiz.

Ko'p beriladigan savollar

Chrome kengaytmalari parollarimni oʻgʻirlashi mumkinmi?

Ha. webRequest ruxsatiga ega kengaytmalar yoki ma'lum sahifa mazmuniga kirish, ular shifrlanganidan va serverga yuborilgunga qadar ariza yuborishni, jumladan, kirish maydonlarini to'xtatib qo'yishi mumkin. cookie-fayllar ruxsatiga ega kengaytmalar seans tokenlarini ham oʻgʻirlashi mumkin, bu esa haqiqiy parolingizga ehtiyoj sezmasdan hisoblaringizga samarali kirish imkonini beradi. Oʻrnatishdan oldin har doim kengaytmaning ruxsatlarini tekshirib koʻring va agar talab qilinmasa, maxfiy domenlarga ruxsat bermang.

Google zararli kengaytmalarning Chrome internet-doʻkoniga kirishini oldini oladimi?

Google avtomatik va qo'lda ko'rib chiqish jarayonlaridan foydalanadi, ammo ular ishonchli emas. Zararli kengaytmalar qayta-qayta tekshiruvdan o‘tgan va olib tashlanishidan oldin millionlab yuklamalar to‘plangan. Ba'zi kengaytmalar qonuniy vositalar sifatida boshlanadi va yomon aktyorlar tomonidan sotib olingandan keyin yoki sokin yangilanishdan keyin zararli bo'ladi. Maxfiy maʼlumotlarga ega boʻlgan korxonalar uchun faqat Google tomonidan tekshirish jarayoniga tayanish yetarli emas; mustaqil tekshirish va tashkiliy ruxsatnomalar roʻyxati zarur qoʻshimcha nazorat hisoblanadi.

Chrome kengaytmalarini qanchalik tez-tez tekshirishim kerak?

Shaxsiy foydalanuvchilar uchun har chorakda bir audit o'rtacha asos hisoblanadi. Biznes foydalanuvchilari yoki nozik professional ma'lumotlar bilan shug'ullanadigan har bir kishi uchun oylik tekshiruv ko'proq mos keladi. Shuningdek, brauzer kengaytmalari bilan bog‘liq har qanday muhim xavfsizlik yangiliklaridan so‘ng, yangi jamoa a’zolarini ishga tushirgandan so‘ng va istalgan vaqtda sekinlashuvlar, qayta yo‘naltirishlar yoki notanish chiquvchi tarmoq faolligi kabi brauzerning kutilmagan xatti-harakatlarini sezganingizda darhol tekshirishingiz kerak.

Brauzer xavfsizligi siz oʻrnatgan va ishonadigan asboblar haqida qilgan tanlovingizdan boshlanadi. Agar siz biznes operatsiyalaringizni yagona, xavfsiz platformada birlashtirib, maʼlumotlaringizni xavf ostiga qoʻyadigan kengaytmaga bogʻliqlikni yoʻq qilish orqali tashkilotingiz taʼsirini kamaytirishga tayyor boʻlsangiz —Mewayz bilan bugunoq tanishing. Oyiga $19 dan boshlanadigan rejalari, 207 ta integratsiyalashgan modullari va 138 000 foydalanuvchidan iborat o'sib borayotgan hamjamiyat bilan Mewayz jamoangizga kerakli hamma narsani ma'lumotlaringizni boshqalarning qo'liga topshiradigan brauzer kengaytmalarisiz taqdim etadi.