ملحقات المستعرض هي كابوس الخصوصية تتوقف عن استخدام الكثير منهم
تعد إضافات المتصفح أخطر بكثير مما يدركه معظم الأشخاص. هذه الأدوات الصغيرة في كثير من الأحيان الوصول إلى كل ما تفعله على الإنترنت ، حتى يتمكنوا من التقاط كلمات المرور الخاصة بك ، وتتبع تصفح الويب الخاص بك ، وإدراج الإعلانات في صفحات الويب التي تزورها ، وأكثر من ذلك. غالبًا ما يتم بيع إضافات المتصفح الشائعة إلى شركات مشبوهة أو مختطفة ، ويمكن أن تحول التحديثات التلقائية إلى برامج ضارة.
لقد كتبنا عن كيف تتجسس إضافات المتصفح عليك في الماضي ، ولكن لم تتحسن هذه المشكلة. لا يزال هناك دفق مستمر من التمديدات تسوء.
لماذا ملحقات المتصفح هي خطرة جدا
تعمل إضافات المتصفح في متصفح الويب ، وغالبًا ما تتطلب القدرة على قراءة أو تغيير كل شيء على صفحات الويب التي تزورها.
إذا كانت إحدى الإضافات تتمتع بإمكانية الوصول إلى جميع صفحات الويب التي تزورها ، فيمكنها فعل أي شيء عمليًا. يمكن أن يعمل بمثابة keylogger لالتقاط كلمات المرور الخاصة بك وتفاصيل بطاقة الائتمان ، وإدراج الإعلانات في الصفحات التي تعرضها ، وإعادة توجيه حركة البحث الخاصة بك في مكان آخر ، وتتبع كل شيء تفعله عبر الإنترنت ، أو كل هذه الأشياء. إذا احتاجت إحدى الإضافات إلى فحص الإيصالات أو الأشياء الصغيرة الأخرى ، فمن المحتمل أن يكون لديها إذن لفحص بريدك الإلكتروني بحثًا عنه كل شىء-وهو أمر خطير للغاية.
هذا لا يعني أن كل ملحق هو يفعلون هذه الأشياء ، لكنهم يستطيع-وهذا يجب أن يجعلك حذرًا جدًا.
تحتوي متصفحات الويب الحديثة مثل Google Chrome و Microsoft Edge على نظام للإذن للإضافات ، ولكن العديد من الإضافات تتطلب الدخول إلى كل شيء حتى تتمكن من العمل بشكل صحيح. حتى التمديد الذي يتطلب الوصول إلى موقع واحد فقط قد يكون خطيراً. على سبيل المثال ، سيتطلب أحد الإضافات التي تعدّل Google.com بطريقة ما الوصول إلى كل شيء على Google.com ، وبالتالي الوصول إلى حسابك في Google ، بما في ذلك بريدك الإلكتروني.
هذه ليست مجرد أدوات صغيرة لطيفة وغير ضارة. إنها برامج صغيرة ذات مستوى وصول كبير إلى متصفح الويب الخاص بك ، وهذا يجعلها خطيرة. حتى الإضافة التي لا تفعل سوى شيء بسيط لصفحات الويب التي تزورها قد تتطلب الوصول إلى كل ما تفعله في متصفح الويب الخاص بك.
كيف يمكن أن تتحول الإضافات الآمنة إلى برامج ضارة
تعمل متصفحات الويب الحديثة مثل Google Chrome تلقائيًا على تحديث إضافات المتصفح المثبتة. إذا كانت الإضافة تتطلب أذونات جديدة ، فسيتم إلغاء تنشيطها مؤقتًا إلى أن تسمح بذلك. ولكن ، بخلاف ذلك ، سيتم تشغيل الإصدار الجديد من الإضافة بجميع الأذونات نفسها التي استخدمها الإصدار السابق. هذا يؤدي إلى مشاكل.
في آب 2017 ، تم اختطاف امتداد مطور برامج الويب الشهير جدًا والموصى به على نطاق واسع. انخفض المطور بسبب هجوم تصيد ، وحمل المهاجم إصدارًا جديدًا من الإضافة التي أدرجت المزيد من الإعلانات في صفحات الويب. أكثر من مليون شخص يثقون في مطور هذه الإضافة الشعبية انتهى بهم المطاف بالحصول على التمديد المصاب. بما أن هذا امتداد لمطوري الويب ، كان من الممكن أن يكون الهجوم أسوأ كثيرًا ، ولا يبدو أن الامتداد المصاب يعمل كمعلم رئيسي ، على سبيل المثال.
في العديد من المواقف الأخرى ، يقوم شخص ما بتطوير ملحق يكتسب عددًا كبيرًا من المستخدمين ، ولكنه لا يحقق أي أموال بالضرورة. يتم الاتصال بهذا المطور بواسطة شركة تدفع مبلغًا كبيرًا من المال لشراء الامتداد. إذا قبل المطور عملية الشراء ، فإن الشركة الجديدة تعدّل الإضافة لإدراج الإعلانات والتتبع ، وتحملها إلى سوق Chrome الإلكتروني كتحديث ، وكل المستخدمين الحاليين يستخدمون الآن إضافة الشركة الجديدة بدون أي تحذير..
حدث ذلك في جزيئات YouTube ، وهو امتداد شائع لتخصيص YouTube ، في تموز 2017. وقد حدث الشيء نفسه في العديد من الإضافات الأخرى في الماضي. ادعى مطورو إضافات Chrome أنهم يتلقون باستمرار عروضًا لشراء امتداداتهم. قام مطوّري إضافات العسل التي تضم أكثر من 700،000 مستخدم بتشغيل "يسألني أي شيء" على Reddit ، موضحًا تفاصيل العروض التي يتلقونها.
بالإضافة إلى سرقة وبيع الإضافات ، من الممكن أيضًا أن يكون الامتداد مجرد خبر سيء ، ويتتبعك سراً عند تثبيته في المقام الأول..
تعرض Chrome إلى الهجوم بسبب شعبيته ، ولكن هذه المشكلة تؤثر على جميع المتصفحات. يمكن القول أن فايرفوكس أكثر عرضة للخطر ، لأنه لا يستخدم نظام أذونات في كل الإمتدادات التي تثبتها تحصل على حق الوصول الكامل إلى كل شيء.
كيفية تقليل المخاطر
في ما يلي كيفية الحفاظ على الأمان: استخدم أقل عدد ممكن من الإضافات. إذا لم تستفد من الإضافة بشكل كبير ، فقم بإزالتها. حاول تحريك قائمة ملحقاتك المثبتة إلى الحد الأدنى الضروري لتقليل فرصة أن تصبح إحدى الإضافات المثبتة لديك سيئة.
من المهم أيضًا استخدام الإضافات فقط من الشركات التي تثق بها. على سبيل المثال ، يعد إضافة لتخصيص YouTube أنشأها شخص عشوائي لم تسمع به مطلقًا مرشحًا رئيسيًا لكونه برنامجًا خبيثًا. ومع ذلك ، فإن منبه Gmail الرسمي الذي تم إنشاؤه بواسطة Google ، و OneNote Note take extension التي أنشأتها Microsoft ، أو LastPass extension manager التي أنشأتها LastPass لن يكاد يكون من المؤكد بيعها لشركة مشبوهة مقابل بضعة آلاف من الدولارات.
يجب أيضًا الانتباه إلى أن امتدادات الأذونات تتطلب ، عندما يكون ذلك ممكنًا. على سبيل المثال ، يجب أن يكون للامتداد الذي لا يطالب إلا بتعديل موقع ويب واحد فقط الوصول إلى موقع الويب هذا. ومع ذلك ، تحتاج العديد من الإضافات إلى الوصول إلى كل شيء ، أو الوصول إلى موقع حساس للغاية تريد الحفاظ على أمانه (مثل البريد الإلكتروني الخاص بك). تعد الأذونات فكرة جيدة ، ولكنها ليست مفيدة جدًا عندما تحتاج معظم الأشياء إلى الوصول إلى كل شيء.
إنه خط جيد للمشي ، بالطبع. في الماضي ، ربما نكون قد قلنا أن امتداد مطور برامج الويب كان آمنًا لأنه كان مشروعًا. ومع ذلك ، انخفض المطور بسبب هجوم تصيد ، وأصبحت الإضافة ضارة. إنه تذكير جيد بأنه حتى إذا كنت تثق بشخص لا يبيع امتداده لشركة مشبوهة ، فأنت تعتمد على هذا الشخص من أجل حمايتك. إذا انزلق هذا الشخص ويسمح باختراق حسابه ، فسوف ينتهي بك الأمر إلى التعامل مع العواقب ، وقد يكون أسوأ بكثير مما حدث مع ملحق مطور ويب.