Үндсэн санаанууд
- Chrome Web Store дээрх өргөтгөлүүдийн ихэнх нь хорлонтой зорилгоор буруугаар ашиглах аюултай зөвшөөрөл шаарддаг.
- Бүх вэб хөтчүүд замбараагүй өргөтгөлүүдийн асуудлыг шийдэхийг оролдож байна.
- Google's Manifest V3 нь зарим асуудлыг шийддэг ч өргөтгөлүүдийн зөвшөөрлийг ашиглахад тийм ч чухал биш юм.
Үг үсгийн алдаа шалгадаг хөтчийн өргөтгөл таны бичсэн бүх зүйлийг уншиж, шинжлэх зөвшөөрөл хүсдэг байсныг санаж байна уу? Зарим өргөтгөлүүд таны зөвшөөрлийг буруугаар ашиглаж, вэб хөтөч рүү оруулсан нууц үгийг чинь хулгайлах магадлал өндөр байгааг кибер аюулгүй байдлын мэргэжилтнүүд анхааруулж байна.
Хэрэглэгчдэд вэб өргөтгөлүүдийн аюулыг ойлгоход нь туслахын тулд дижитал хамгаалалтын компани Talon Chrome вэб дэлгүүрт дүн шинжилгээ хийж, хэдэн арван мянган өргөтгөлүүд зочилсон бүх сайтын өгөгдлийг өөрчлөх зэрэг санаа зовоосон зөвшөөрөлд хандах боломжтой гэж мэдээлэв., файл татаж авах, татах үйл ажиллагаанд хандах болон бусад зүйлс.
“Олон алдартай өргөтгөлүүд хэрэглэгчдийг эрсдэлд оруулдаг” гэж Talon Cyber Security-ийн үүсгэн байгуулагч, ерөнхий захирал Охад Бобров Lifewire-д цахим шуудангаар тайлбарлав. “[Тэр ч байтугай] хор хөнөөлгүй өргөтгөлүүдийн код эсвэл нийлүүлэлтийн сүлжээнд сул тал байж болзошгүй бөгөөд хорлонтой этгээдийн мэдэлд өртөж болзошгүй.”
Wayward Extensions
Талон өргөтгөлүүд нь хэрэглэгчдэдээ маш их үнэ цэнийг санал болгож, вэб хөтчүүдэд зар хаах, зөв бичгийн алдаа шалгах, нууц үг удирдах гэх мэт олон ашигтай функцуудыг авчирдаг гэж үздэг. Гэсэн хэдий ч эдгээр функцийг бий болгохын тулд өргөтгөлүүд нь хөтөч, түүний зан төлөв, зочилсон вэбсайтуудыг өөрчлөх өргөн зөвшөөрөл шаарддаг.
“Мэдээжийн хэрэг, гуравдагч этгээдийн хяналт, хандалтын түвшин нь хэрэглэгчдийн аюулгүй байдал, хувийн нууцад ихээхэн аюул учруулж болзошгүй” гэж Talon тайлбарлав.
Google-ийн шалгалтын үйл явцыг үл харгалзан олон хортой өргөтгөлүүд цоорхойг даван туулж, сая сая хэрэглэгчдэд сөргөөр нөлөөлнө гэж тус компани нэмж хэлэв. Шинжилгээгээр Chrome вэб дэлгүүрийн бүх өргөтгөлүүдийн 60 гаруй хувь нь хэрэглэгчийн өгөгдөл болон үйл ажиллагааг унших, өөрчлөх зөвшөөрөлтэй болохыг тогтоожээ.
Жишээ нь, Talon зөв бичгийн болон дүрмийн алдаа шалгагч нь хэрэглэгчийн текстийг шинжлэхийн тулд вэб хуудасны контекстээс скрипт оруулах зөвшөөрөл хүсдэг гэж мэдэгджээ. Тэд үүнийг ихэвчлэн оролтын талбаруудыг шалгах эсвэл хэрэглэгчийн товчлуурын даралтыг өөр аргаар бүртгэх замаар хийдэг. Энэ нь өргөтгөлүүдэд нууц үг болон бусад нууц мэдээлэл зэрэг вэб хуудасны аливаа мэдээллийг цуглуулж, гадагшлуулах боломжийг үр дүнтэй олгодог гэж компани хэлж байна.
Дараа нь Chrome вэб дэлгүүрийн шилдэг өргөтгөлүүдийг бүрдүүлдэг зар хаах үйлчилгээ байдаг. Энэ функц нь хуудаснаас элементүүдийг устгах бөгөөд зөв бичгийн алдаа шалгагчтай ижил зөвшөөрөл шаарддаг.
Ямар өгөгдөл задруулсан нь тодорхойгүй ч нууц үг зэрэг дурын хуудаснаас юуг ч хулгайлж болзошгүй.
Үүнтэй адилаар дэлгэц хуваалцах зөвшөөрөл болон видео хурлын өргөтгөлүүдийг зорилгоо биелүүлэхийн тулд хэрэглэгчийн дэлгэц болон дууг авахын тулд буруугаар ашиглаж болно.
"Сүүлийн хэдэн сард uBlock Origin-д хоёр эмзэг байдал илэрсэн бөгөөд энэ нь халдагчдад өргөтгөлийн зөвшөөрлийг ашиглан бүх сайт дээрх өгөгдлийг унших, өөрчлөх, хэрэглэгчийн нууц мэдээллийг хулгайлах боломжийг олгосон" гэж Бобров бидэнд хэлэв.
"UBlock Origin гэх мэт зар хориглогч нь маш түгээмэл бөгөөд ихэвчлэн хэрэглэгчийн зочилдог хуудас бүрт хандах боломжтой байдаг. Цаана нь тэд олон нийтийн санал болгож буй шүүлтүүрийн жагсаалтууд - аль элементийг хаахыг зааж өгдөг CSS сонгогчоор ажилладаг. Эдгээр Жагсаалтад бүрэн итгэдэггүй тул тэдгээр нь хэрэглэгчийн мэдээллийг хулгайлахаас урьдчилан сэргийлэхийн тулд хорлонтой дүрмүүдээр хязгаарлагддаг" гэж аюулгүй байдлын судлаач Гарет Хейс өргөтгөлийн сул талыг нууц үг хулгайлахын тулд ашиглаж байгааг харуулахдаа бичжээ.
Бобров мөн 2019 онд хоёр сая гаруй хэрэглэгчтэй алдартай The Great Suspender өргөтгөлийг хорлонтой жүжигчин худалдан авч, түүний зөвшөөрлийг ашиглан хянуулаагүй, алсаас байршуулсан кодыг ажиллуулахын тулд скрипт оруулах болсон тухай хуваалцжээ. вэб хуудсанд.
"Ямар өгөгдөл задруулсан нь тодорхойгүй байна" гэж тэр хэлэв, "гэхдээ нууц үг зэрэг ямар ч хуудаснаас юуг ч хулгайлж болзошгүй."
Бодит шийдэл байхгүй
Бобров хэлэхдээ Chrome болон бусад бараг бүх тэргүүлэх вэб хөтчүүд зөвхөн шалгах үйл явцыг сайжруулаад зогсохгүй өргөтгөлүүдийн зарим чадавхийг хязгаарлах замаар өргөтгөлөөс үүсэх аюулгүй байдлын эрсдлийг бууруулахаар ажиллаж байна.
Бобров сүүлийн үеийн нэг алхам бол Google-ийн Manifest V3 юм. Энгийн хэрэглэгчийн хувьд Manifest V3-ийн өргөтгөлүүдэд авчрах хамгийн мэдэгдэхүйц ялгаа нь алсаас байршуулсан кодыг бүрэн хориглох, өргөтгөлүүд вэб хүсэлтийг өөрчлөх арга замыг өөрчлөх явдал юм. Гэсэн хэдий ч сөрөг тал нь Manifest V3 нь зар хориглогчдод ноцтой саад учруулж байна гэж шүүмжилсэн байна.
"Хамгийн чухал чиг хандлага бол аюулгүй байдлын цоорхойг арилгах, эцсийн хэрэглэгчийн харагдах байдал, хяналтыг нэмэгдүүлэх (жишээ нь, аль сайт өргөтгөлүүдийг ажиллуулахыг зөвшөөрдөг) болон өргөтгөлүүдэд хянагдах боломжгүй кодыг хориглох явдал юм" гэж Бобров хэлэв. "Эдгээр өөрчлөлтүүдийн зарим нь Google-ийн Manifest V3-д багтсан болно. Гэхдээ эдгээр өөрчлөлтүүдийн аль нь ч өргөтгөлүүдийн зөвшөөрлийг эрс өөрчилдөггүй."
