Tiện ích mở rộng trình duyệt là cơn ác mộng về quyền riêng tư

Tác giả sysadmin, T.Mười 25, 2023, 02:34:34 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Tiện ích mở rộng trình duyệt là cơn ác mộng về quyền riêng tư


Tiện ích mở rộng của trình duyệt nguy hiểm hơn nhiều so với những gì hầu hết mọi người nhận ra. Các tiện ích mở rộng và tiện ích bổ sung của trình duyệt đã tồn tại trong nhiều năm và trong suốt thời gian đó, chúng vẫn là một rủi ro bảo mật đáng kể. Chỉ cần một tiện ích mở rộng trình duyệt độc hại là thông tin thiết bị, lịch sử duyệt web và các thông tin khác của bạn sẽ rơi vào tay một công ty hoặc cá nhân ngẫu nhiên. Đó cũng không phải là một rủi ro về mặt lý thuyết: nó xảy ra liên tục.

Bài viết về Tuần nhận thức về An ninh mạng này được mang đến cho bạn cùng với Incogni.

Nhiều tiện ích mở rộng của trình duyệt được thiết kế để thay đổi nội dung của từng trang bạn truy cập hoặc ít nhất là kiểm tra các liên kết bạn truy cập để thực hiện một số hành động. Điều đó yêu cầu các quyền nâng cao mà trình duyệt không thể bảo vệ một cách hợp lý khi tiện ích mở rộng gặp sự cố, ngoại trừ bằng cách cấm chúng sau khi thiệt hại đã xảy ra. Nếu bạn chưa làm vậy, đã đến lúc cắt giảm danh sách các tiện ích mở rộng trình duyệt đã cài đặt của bạn.

1. Sự nguy hiểm của phần mở rộng

Các tiện ích mở rộng trình duyệt hiện đại, giống như các ứng dụng dành cho Android và iPhone, được xây dựng trên mô hình quyền. Họ chỉ có quyền yêu cầu các quyền thực sự cần thiết cho các tính năng đã hứa. Ví dụ: tiện ích mở rộng trình duyệt Keepa thêm biểu đồ lịch sử giá và các nút bổ sung vào các trang sản phẩm của Amazon, do đó, tiện ích mở rộng này chỉ yêu cầu quyền truy cập vào các trang trên Amazon và trang web riêng của tiện ích mở rộng. Nó sẽ không thể xem dữ liệu của bạn trên YouTube, trang web ngân hàng, Wikipedia hoặc bất kỳ thứ gì khác.


Tuy nhiên, nhiều tiện ích mở rộng mang tính tổng quát hơn và yêu cầu quyền truy cập vào tất cả các trang bạn truy cập. Các trợ lý viết và ngữ pháp như Microsoft Editor và Grammarly thuộc danh mục này—việc thêm các tính năng kiểm tra văn bản vào mọi trang (được hỗ trợ) mà bạn truy cập yêu cầu phải có quyền đối với tất cả các trang. Điều đó có thể hiểu được, nhưng việc truy cập vào tất cả các trang bạn truy cập vẫn có mức độ tin cậy cực kỳ cao, đặc biệt khi rất nhiều hoạt động trên máy tính của chúng ta diễn ra bên trong trình duyệt web. Việc cấp quyền quản trị viên cho một ứng dụng Windows không còn quá xa vời nữa.

Google, Microsoft và Mozilla đã cố gắng quản lý các quyền của tiện ích mở rộng và cung cấp các lựa chọn thay thế ít đáng sợ hơn. Ví dụ: một số tiện ích mở rộng của trình duyệt có thể chỉ yêu cầu quyền đối với tab hiện tại thay vì tất cả các trang web mọi lúc (bao gồm cả tab nền). Một số trình duyệt cũng ngăn tiện ích mở rộng chạy trên một số trang web nhất định cho đến khi chúng được cho phép rõ ràng. Tuy nhiên, chỉ có thể áp dụng rất nhiều biện pháp phòng ngừa nếu tiện ích mở rộng không thể hoạt động nếu không có quyền truy cập vào mọi thứ.

Vào năm 2019, tiện ích mở rộng Bảo mật trực tuyến của Avast và AVG đã bị phát hiện ghi lại dữ liệu truy cập trang web và bán dữ liệu đó cho Home Depot, Google, Pepsi và các công ty khác thông qua công ty con Jumpshot của Avast. Vào năm 2016, tiện ích mở rộng trình duyệt Web of Trust phổ biến đã bán dữ liệu người dùng có thể nhận dạng sau khi tuyên bố rằng dữ liệu đó là ẩn danh. Google đã xóa bốn tiện ích mở rộng với hơn 500.000 lượt tải xuống tổng hợp vào năm 2018 sau khi chúng được sử dụng để nhấp vào quảng cáo trên trang mà người dùng không hề hay biết. Tiện ích mở rộng Grammarly sử dụng bài viết của bạn để đào tạo các mô hình AI. Danh sách các ví dụ vẫn tiếp tục, và tiếp tục.

Cũng có trường hợp tiện ích mở rộng của trình duyệt bị "chiếm quyền điều khiển" và chuyển sang nhà phát triển khác, cho phép tiện ích mở rộng được cập nhật bằng phần mềm độc hại. Vào năm 2017, người tạo tiện ích mở rộng Web Developer for Chrome nổi tiếng đã bị lừa đảo tài khoản Google của mình và tài khoản bị đánh cắp đã được sử dụng để đẩy bản cập nhật đưa quảng cáo vào các trang. Rất may, bản cập nhật đã nhanh chóng được đảo ngược và các tài khoản Google có tiện ích mở rộng đã xuất bản trên Cửa hàng Chrome trực tuyến hiện được yêu cầu sử dụng xác thực hai yếu tố để giảm khả năng khai thác lừa đảo và hack. Mozilla cũng có quy định tương tự dành cho các nhà phát triển xuất bản tiện ích mở rộng của Firefox.

2. Giảm rủi ro của bạn

Bạn chắc chắn nên giữ các tiện ích mở rộng trình duyệt của mình ở mức tối thiểu: ngay cả khi tiện ích mở rộng hiện an toàn, nó có thể được cập nhật trong tương lai bằng phần mềm độc hại mà bạn không nhận ra. Trong Google Chrome và Microsoft Edge, bạn có thể kiểm tra danh sách tiện ích mở rộng của mình bằng cách điều hướng đến trang   Đăng nhập để xem liên kết Trong Firefox, nhập   Đăng nhập để xem liên kết vào thanh địa chỉ hoặc nhấp vào menu thanh công cụ chính và chọn "Tiện ích bổ sung và chủ đề". Gỡ cài đặt mọi thứ bạn không thực sự cần.

Nếu đôi khi bạn cần một số tiện ích mở rộng nhất định nhưng muốn giữ an toàn cho phần lớn hoạt động duyệt web của mình, bạn cũng có thể cài đặt trình duyệt phụ có các tiện ích mở rộng được giới hạn cho ứng dụng đó. Một số tiện ích mở rộng cũng có các trang web có chức năng tương tự để thay thế. Ví dụ: bạn có thể sao chép và dán văn bản vào ứng dụng web của Grammarly để kiểm tra lỗi chính tả và ngữ pháp, thay vì cài đặt tiện ích mở rộng và cho phép tiện ích này ghi lại mọi trang bạn truy cập. Điều đó ít thuận tiện hơn và tốn nhiều thời gian hơn, nhưng nó an toàn hơn nhiều.