浏览器扩展程序是帮助拼写/语法、查找优惠、存储密码或屏蔽广告的工具;用户根本不会认为这些有用的工具是恶意的。您是否在没有仔细了解工具特性的情况下安装了这些“效率”插件或扩展程序?如果您没有想过或检查过,那么您并不孤单。绝大多数人不会检查浏览器扩展程序的安全性;然而,忽视这一点可能会让您面临巨大的风险。CyberHoot 员工最近的一次经历和一些额外的研究表明,扩展程序的危险性有多么高。
Chrome 扩展程序的一大隐患是,哪些信息会被用到哪里?CyberHoot 最近安装了 Grammarly 来帮助构建句子,之后开始寻找同义词库来辅助词汇选择。我们希望用优秀的词汇选择取悦读者。谷歌扩展程序中最受欢迎的同义词库是“Power Thesaurus”,获得了 192 条五星好评。这款扩展程序表面上看起来很棒,但作为一家始终专注于网络安全的公司,我们进行了更深入的调查。仔细观察后,根据以下屏幕截图,我们提出了一些担忧:
该软件开发商位于俄罗斯。这本身就值得担忧,因为俄罗斯编写的病毒和恶意软件历史悠久。Power Thesaurus 可能是一款优秀且绝对安全的插件,但我们如何才能确保其安全呢? 信任但要验证 这是 CyberHoot 的口号。这促使我们进一步思考,并研究扩展程序对我们的计算机安全究竟有多危险。继续阅读,了解我们的发现。
在最坏的情况下,恶意 Chrome 扩展程序可以部署 恶意软件进入您的计算机。 在其他情况下,扩展程序会与第三方共享您的搜索数据、凭据和个人数据,从而严重威胁您的隐私。事实上, 唤醒安全 向谷歌证明,108 个 Chrome 扩展程序(下载量达 32 万次)正在窃取毫无戒心的用户的私人数据,并将这些数据发送给第三方。谷歌随后将这些扩展程序从其商店中下架。CyberHoot 现在想知道,我们能否自行研究扩展程序是否安全,而不是盲目依赖谷歌?我们找到了一个工具,或许可以帮助您做出这些决定。
Duo 以其行业领先的双因素身份验证解决方案而闻名。然而,他们的安全研究人员开发了一款用于审查和评估 Chrome 扩展程序安全性的工具,这款工具非常出色,因此他们将其公开发布。 开始.
CRXcavator 每 3 小时自动扫描整个 Chrome 网上应用店,并根据多种因素为每个 Chrome 扩展程序生成量化风险评分,”该公司 解释。这些因素包括:
我们用 CRXcavator 测试过的每个同义词库都得到了令人吃惊的分数。“强力同义词库”对访问我们撰写内容的权限提出了一些担忧,但如果没有访问权限,该工具就无法运行。最终,我们安装了另一个具有类似访问权限的同义词库。
安装扩展程序时务必做好尽职调查。请搜索网络,查看是否有任何相关的报告。CyberHoot 建议使用 Duo 的 CRXcavator 工具检查您的扩展程序,并根据检查结果做出明智的决定,确定哪些扩展程序适合您在计算机上运行,哪些不适合。减少浏览器中运行的扩展程序数量可以提高浏览器性能,并可能提高您的整体安全性。
来源:
其他读物:
发现并分享最新的网络安全趋势、技巧和最佳实践——以及需要注意的新威胁。
