Kami telah menulis tentang bagaimana ekstensi browser Anda memata-matai Anda di masa lalu, tetapi masalah ini belum membaik. Masih ada aliran ekstensi yang terus-menerus menjadi buruk.
Mengapa Ekstensi Browser Begitu Berbahaya
Ekstensi peramban berjalan di peramban web Anda, dan mereka sering kali membutuhkan kemampuan untuk membaca atau mengubah segala sesuatu di laman web yang Anda kunjungi.
Jika ekstensi memiliki akses ke semua halaman web yang Anda kunjungi, itu bisa melakukan apa saja. Ini bisa berfungsi sebagai keylogger untuk menangkap kata sandi dan detail kartu kredit Anda, memasukkan iklan ke dalam halaman yang Anda lihat, mengarahkan lalu lintas pencarian Anda di tempat lain, melacak semua yang Anda lakukan online - atau semua hal ini. Jika ekstensi perlu memindai tanda terima Anda atau hal-hal kecil lainnya, mungkin Anda memiliki izin untuk memindai email Andasegala sesuatu-Yang sangat berbahaya.
Itu tidak berarti bahwa setiap ekstensiaku s melakukan hal-hal ini, tetapi merekabisa-Dan itu seharusnya membuatmu sangat, sangat waspada.
Peramban web modern seperti Google Chrome dan Microsoft Edge memiliki sistem izin untuk ekstensi, tetapi banyak ekstensi memerlukan akses ke semuanya agar dapat berfungsi dengan baik. Bahkan ekstensi yang hanya membutuhkan akses ke satu situs web bisa berbahaya. Misalnya, ekstensi yang memodifikasi Google.com dalam beberapa cara akan membutuhkan akses ke semua hal di Google.com, dan karena itu memiliki akses ke akun Google Anda - termasuk email Anda.
Ini bukan alat kecil yang lucu dan tidak berbahaya. Mereka adalah program kecil dengan tingkat akses yang sangat besar ke browser web Anda, dan itu membuat mereka berbahaya. Bahkan ekstensi yang hanya melakukan sedikit hal ke halaman web yang Anda kunjungi mungkin memerlukan akses ke semua yang Anda lakukan di browser web Anda.
Bagaimana Ekstensi Aman Dapat Berubah Menjadi Malware
Pada bulan Agustus 2017, ekstensi Pengembang Web yang sangat populer dan banyak direkomendasikan untuk Chrome dibajak. Pengembang jatuh karena serangan phishing, dan penyerang mengunggah versi baru dari ekstensi yang memasukkan lebih banyak iklan ke dalam halaman web. Lebih dari satu juta orang yang mempercayai pengembang ekstensi populer ini akhirnya mendapatkan ekstensi yang terinfeksi. Karena ini adalah ekstensi untuk pengembang web, serangannya bisa menjadi jauh lebih buruk - tampaknya ekstensi yang terinfeksi berfungsi sebagai keylogger, misalnya.
Dalam banyak situasi lain, seseorang mengembangkan ekstensi yang mendapatkan sejumlah besar pengguna, tetapi tidak selalu menghasilkan uang. Pengembang tersebut didekati oleh perusahaan yang akan membayar sejumlah besar uang untuk membeli ekstensi. Jika pengembang menerima pembelian, perusahaan baru memodifikasi ekstensi untuk memasukkan iklan dan pelacakan, mengunggahnya ke Toko Web Chrome sebagai pembaruan, dan semua pengguna yang ada sekarang menggunakan ekstensi perusahaan yang baru - tanpa peringatan.
Ini terjadi pada Partikel untuk YouTube, ekstensi populer untuk menyesuaikan YouTube, pada bulan Juli 2017. Hal yang sama telah terjadi pada banyak ekstensi lain di masa lalu. Pengembang ekstensi Chrome mengklaim bahwa mereka selalu menerima penawaran untuk membeli ekstensi mereka. Pengembang ekstensi Honey dengan lebih dari 700.000 pengguna pernah menjalankan "Ask Me Anything" di Reddit, merinci jenis penawaran yang sering mereka terima.
Selain pembajakan dan penjualan ekstensi, ekstensi juga mungkin hanya berita buruk, dan secara diam-diam melacak Anda ketika Anda memasangnya di tempat pertama.
Chrome telah diserang karena popularitasnya, tetapi masalah ini memengaruhi semua browser. Firefox bisa dibilang lebih berisiko, karena tidak menggunakan sistem izin sama sekali - setiap ekstensi yang Anda pasang mendapat akses penuh ke semuanya.
Cara Meminimalkan Risiko
Penting juga untuk hanya menggunakan ekstensi dari perusahaan yang Anda percayai. Misalnya, ekstensi untuk menyesuaikan YouTube yang dibuat oleh orang acak yang belum pernah Anda dengar adalah kandidat utama untuk menjadi malware. Namun, Pemberitahu Gmail resmi yang dibuat oleh Google, ekstensi catatan OneNote yang dibuat oleh Microsoft, atau ekstensi pengelola kata sandi LastPass yang dibuat oleh LastPass hampir pasti tidak akan dijual ke perusahaan yang teduh untuk beberapa ribu dolar.
Anda juga harus memperhatikan ekstensi izin yang diperlukan, jika memungkinkan.Misalnya, ekstensi yang hanya mengklaim untuk mengubah satu situs web hanya boleh memiliki akses ke situs web itu. Namun, banyak ekstensi memerlukan akses ke segala sesuatu, atau akses ke situs web yang sangat sensitif yang ingin Anda pertahankan aman (seperti email Anda). Izin adalah ide yang bagus, tetapi itu tidak terlalu berguna ketika sebagian besar hal memerlukan akses ke semuanya.
Ini garis yang bagus untuk berjalan, tentu saja. Di masa lalu, kami mungkin mengatakan bahwa ekstensi Pengembang Web aman karena itu sah. Namun, pengembang jatuh karena serangan phishing dan ekstensi menjadi jahat. Itu adalah pengingat yang baik bahwa, meskipun Anda dapat mempercayai seseorang untuk tidak menjual ekstensi mereka ke perusahaan yang teduh, Anda mengandalkan orang itu demi keamanan Anda. Jika orang itu tergelincir dan membiarkan akun mereka dibajak, Anda akan berakhir dengan konsekuensinya - dan itu bisa jauh lebih buruk daripada yang terjadi dengan ekstensi Pengembang Web.