Почему с расширениями для браузеров нужно быть осторожнее

Наверняка вы знаете, что такое расширения для браузера, — почти все мы пользуемся ими каждый день. С ними у вашего браузера появляется масса полезных возможностей, но при этом они угрожают вашей безопасности и конфиденциальности. Давайте рассмотрим, что может пойти не так с расширениями для браузеров и как минимизировать риски от их использования. 

Что может пойти не так

Во-первых, расширения могут быть просто зловредными. В основном это характерно для расширений, которые предлагают установить на сторонних сайтах, но иногда вредоносное ПО проникает и в официальные источники вроде магазина расширений Chrome Web Store — так же, как оно иногда прокрадываются в Google Play.

Как расширению это удается? Чтобы что-то делать, ему нужно разрешение. Но из популярных браузеров только Google Chrome запрашивает такое разрешение у пользователя. Другие браузеры по умолчанию позволяют плагинам делать все что угодно. Пользователя они не спрашивают.

Однако даже в Chrome управление разрешениями работает только в теории — а на практике получается не очень. Даже простейшие расширения обычно требуют, чтобы им предоставили право «читать и изменять все ваши данные на посещаемых вами сайтах», что дает им возможность делать практически все что угодно. А если не дать им это разрешение, не получится их установить.

Во-вторых для преступников, расширения — лакомый кусок, ведь некоторые из них установлены у многих тысяч пользователей, а обновляются они автоматически. Это значит, что вы можете скачать безобидное расширение, а затем оно обновится и станет зловредным — а вы ничего не заметите.

Хороший разработчик так поступать не станет, но его учетную запись могут взломать злоумышленники, чтобы загрузить зловредное обновление в официальный магазин от его имени. Например, так мошенники с помощью фишинга добыли данные разработчиков популярного плагина Copyfish. Это расширение, которое изначально распознавало текст с картинок, после обновления начало показывать пользователям рекламу.

В третьих иногда компании предлагают разработчикам расширений неплохую сумму за их продукты. Как правило, расширения тяжело монетизировать, и разработчики часто с радостью соглашаются. После осуществления сделки компания может выпустить зловредное обновление, которое автоматически установится у всех скачавших расширение пользователей.

Именно это случилось с Particle, популярным расширением для Chrome, с помощью которого можно было кастомизировать YouTube. Разработчики в какой-то момент забросили его, а компания, выкупившая у них этот плагин, сразу же превратила его в рекламное ПО.

В четвертых, даже те расширения, которые создавались без цели навредить кому-либо, тоже могут быть опасными. Почти все они собирают множество данных о пользователях (помните про разрешение «читать и редактировать все данные на всех посещаемых вами сайтах»?) Чтобы свести концы с концами, некоторые разработчики продают данные пользователей в анонимном виде третьим лицам. Обычно они честно предупреждают об этом в пользовательском соглашении, и в большинстве случаев это не страшно.

Проблема в том, что иногда данные оказываются недостаточно анонимными, что приводит к нарушению конфиденциальности. Например, компания, купившая данные, может по ним выяснить личность пользователей плагина. Именно это случилось с Web of Trust — некогда популярным расширением для Chrome, Firefox, Internet Explorer, Opera, Safari и других браузеров. Оно составляло рейтинг сайтов, основываясь на мнениях пользователей — и собирало полную историю посещения всех сайтов.

Как работать с расширениями максимально безопасно

Расширения могут быть опасными, но некоторые из них очень полезны, поэтому вы вряд ли захотите совсем от них отказаться. Я до сих пор использую несколько расширений, и я точно знаю, что у двух из них есть то самое разрешение все читать и редактировать.

Было бы безопаснее их удалить, но они очень удобные. Поэтому нам нужен способ более-менее безопасно использовать расширения. Защитить себя можно, соблюдая следующие правила.

• Не устанавливайте слишком много расширений. Они не только снижают производительность компьютера при работе с браузером, но и могут открыть лазейку для атак. Так что оставьте только необходимый минимум.
• Устанавливайте расширения только из официальных магазинов. Там их хотя бы как-то проверяют, отфильтровывая откровенно зловредные.
• Обратите внимание, какие доступы запрашивает расширение. Если уже установленный плагин просит новое разрешение, это должно немедленно вас насторожить. Скорее всего, что-то пошло не так. Вероятно, расширение было продано или взломано. Перед установкой плагина всегда стоит посмотреть на запрашиваемые им разрешения и подумать, соответствуют ли они его функциям. Если вы не можете придумать логичное объяснение таким запросам, лучше отказаться от установки расширения.
• Отключайте по-возможности, если их вы не используете.