認識瀏覽器插件的潛在風險

在大家常用的瀏覽器上,或多或少都會安裝不同功能的插件,一方面為用戶帶來不少方便,但另一方面也存在著私隱和保安風險,稍一不慎便可能引狼入室。所以下文便會講解網絡罪犯常用的技倆,透過惡意程式盜取個人私隱或者導致金錢損失。

惡意程式插件
首先,瀏覽器的插件可以徹頭徹尾是惡意程式,這個情況通常來自第三方網站的插件,但並非絕對,不竟 Android 的 Google Play 的應用程式也曾經有惡意程式成功潛伏的個案,而 Chrome 的 Web Store 也成為不法分子的目標,曾經有一款看起來無害的記事本應用程式,其實暗地裡透利用受害人的瀏覽器點擊廣告謀利。

其實插件要做到以上的動作,事前必需要獲得用戶受權,不過現時大眾常用的瀏覽器中,只有 Google Chrome 會向用戶要求取得權限,其他瀏覽器預設容許插件做任何事情,而用戶亦只可以接受。然而,Chrome 的權限管理在理論上可行,實際並非如此。插件通常都要求取得權限「閱讀和更改用所前往的網站資料」,其實與授權讓他們做所有事無異,但是用戶不授權便無法安裝。

騎劫和購買插件
其次是插件也成為騙徒的目標,因為很多插件都有大量使用者,而且它們自動更新,這意味著即使用戶下載了無害的插件,但是能夠透過更新而變成惡意程式,而且該更新可以是直接向用戶推送,用戶本身並不會察覺得到。雖然正常的開發者並不會做這種事,但是他們的帳號有機會被騎劫,然後利用他們的帳號上載惡意程式到官方平台,這個情況曾經在一款名為「Copyfish」的插件身上發生,騙徒把多條額外的廣告加入其中。

有時候開發者會有公司接洽,想購入他們開發的插件,由於插件一向是難以直接賺錢的商品,所以很多開發者都會答應交易。當該公司購入該插件的擁有權後,便透過更新推送惡意程式功能到用戶的裝置,例如較早前的 Particle,原本是個人化 Youtube 的 Chrome 插件,後來被開發者把它售予一家公司,而該公司立即把 Particle 變成一款廣告軟件。

不是惡意程式但危險
即使插件不是惡意程式,也可以存在危險,因為大部份插件都能夠收集大量用戶的數據,為了謀生,部份開發員會把匿名的數據向第三方出售,而且通常都列明在使用協議上。不過問題是有時候數據的匿名化並不足夠,引致嚴重的私隱問題,購買數據的一方能夠識別插件的用戶,這情況曾經發生在 Web of Trust – 網站平分插件的身上,而該插件在 Chrome、Firefox、Internet Explorer、Opera、Safari 和其他瀏覽器上,而該插件也會收集用戶所有瀏覽紀錄。

一個德國網站指 Web of Trust 把收集到的數據,在未經恰當的匿名化的情況下把數據售予第三方人士,事件導致 Mozilla 把插件下架,插件製作人也把它從其他瀏覽器商店中移除。然而,一個月之後又再次上架,Web of Trust 並不是惡意程式插件,但它向用戶不預期會接觸到數據的人士或單位,曝露用戶瀏覽過的網站和在網站上的一切活動,這足以危害用戶的私隱。

學習安全使用插件
雖然部份插件很危險,但實際上也有很多插件非常好用,所以用戶才會對它們不離不棄,如果用戶想較安全地使用插件,可以參考以下幾點建議:

– 不要安裝太多插件,因為不但會影響電腦效能,也是潛在的攻擊點,所以盡可能只安全最需要的插件。

– 只在官方商店安裝插件,因為官方平台至少有保安專家對惡意程式進行過濾。

– 留意插件的權限要求,如果已安裝的插件要求新的權限便要立即提高警覺,該插件可能已被騎劫或購買。至於新插件,用戶應該留意權限的要求與其功能是否相乎。

– 使用可靠的網絡保安方案,Kaspersky Internet Security 能夠偵測和阻止插件中的惡意編碼,而且不時更新最新的病毒資料,能對應日新月異的新插件。

Comments are closed