31/01/2018

Dlaczego należy zachować ostrożność podczas instalowania rozszerzeń przeglądarki

Porady

Pewnie wiesz, co to są rozszerzenia przeglądarek — korzysta z nich naprawdę wiele osób. Ich zadaniem jest dodanie do przeglądarki wiele przydatnych funkcji. Niestety z drugiej strony mogą zagrażać naszej prywatności i bezpieczeństwu. Dziś opowiem o ciemniej stronie takich rozszerzeń oraz podpowiem, w jaki sposób można zmniejszyć związane z nimi zagrożenia. Najpierw jednak przybliżę nieco podstawy.

Czym są i do czego służą rozszerzenia przeglądarki?

Rozszerzenie przeglądarki jest czymś w rodzaju wtyczki do przeglądarki, które dodaje do niej określone funkcje. Mogą one na przykład zmieniać interfejs lub dodawać funkcje do stron internetowych.

Na przykład rozszerzenia są używane do blokowania reklam na stronach, tłumaczenia tekstu na inny język czy dodawania stron do notatników autorstwa innych firm, np. Evernote czy Pocket. Jest ich całe mnóstwo i mają wiele zastosowań: zwiększają produktywność, ułatwiają personalizację, zakupy, granie itp.

Rozszerzenia są obsługiwane przez niemal wszystkie popularne przeglądarki — Chrome, Chromium, Safari, Opera, Internet Explorer czy Edge. Są one powszechnie dostępne, a niektóre naprawdę bywają pomocne. Wszystko to sprawia, że wiele osób korzysta z co najmniej kilku rozszerzeń. Jak już jednak wspomniałem, rozszerzenia są nie tylko wygodne, ale bywają także niebezpieczne.

Co może się czaić pod rozszerzeniem?

Szkodliwe rozszerzenia

Po pierwsze, rozszerzenia mogą być zwyczajnie szkodliwe. Dzieje się tak przeważnie wtedy, gdy są one autorstwa innych firm. Jednak czasami — jak w przypadku Android i Google Play — szkodliwy program zwyczajnie przedostaje się do oficjalnych sklepów.

Na przykład niedawno badacze bezpieczeństwa odkryli cztery rozszerzenia w sklepie Chrome Web Store firmy Google, które udawały zwykłe aplikacje do notatek podręcznych, a w rzeczywistości zostały przyłapane na generowani uzysków na rzecz ich autorów — potajemnie klikały reklamy typu „pay-per-click”.

Jak to możliwe? Sprawa sprowadza się do nadania rozszerzeniu odpowiednich uprawnień. Spośród powszechnie używanych przeglądarek tylko Google Chrome pyta użytkownika o zgodę na nadanie określonych uprawnień; pozostałe przeglądarki zezwalają rozszerzeniom na wszystko, czego tylko potrzebują, domyślnie — a użytkownik nie ma innego wyjścia, jak zaakceptować tę sytuację.

Jednak nawet w przypadku przeglądarki Chrome zarządzanie uprawnieniami istnieje tylko w teorii — bo w rzeczywistości nie działa. Nawet najzwyklejsze rozszerzenia wymagają zwykle pozwolenia na odczyt i zmianę wszystkich danych na odwiedzanych stronach, dzięki czemu mogą zrobić z nimi dosłownie wszystko. A jeśli nie zgodzisz się na nadanie im tych uprawnień — możesz zapomnieć o instalacji.

Wcześniej także natknęliśmy się na inny przykład szkodliwych rozszerzeń, które były wykorzystywane przez oszustów do dystrybucji szkodliwych programów w aplikacji Facebook Messenger. Wszystko opisaliśmy w tym poście.

Przechwytywanie rozszerzeń i handlowanie nimi

Rozszerzenia przeglądarek stanowią interesujący wątek dla oszustów, ponieważ z wielu z nich korzysta mnóstwo użytkowników. Są one aktualizowane automatycznie, co oznacza, że jeśli użytkownik pobrał nieszkodliwe rozszerzenie, można je zaktualizować tak, aby było szkodliwe; aktualizacja taka może zostać dostarczona do użytkownika bezpośrednio — a on niczego nie zaważy.

Dobry programista tak nie postępuje, lecz jego konto może zostać przechwycone, a szkodliwa aktualizacja może zostać umieszczona w oficjalnym sklepie w jego imieniu. Taka sytuacja miała miejsce, gdy oszuści wykorzystali phishing w celu uzyskania dostępu do danych autoryzacyjnych programistów popularnej wtyczki o nazwie Copyfish. Pierwotnie wtyczka ta miała na celu optyczne rozpoznawanie znaków, ale później została zmieniona przez oszustów i wyświetlała użytkownikom dodatkowe reklamy.

Czasami z programistami kontaktują się firmy, które oferują im kupienie danego rozszerzenia za niewielką sumę. Ponieważ raczej trudno jest sprzedać swoją pracę w tym zakresie, programiści zwykle chętnie zgadzają się na takie okazje. Gdy firma zakupi rozszerzenie, może zaktualizować je o szkodliwe funkcje, a następnie dostarczyć do użytkowników. Tak się stało z Particle, popularnym rozszerzeniem dla przeglądarki Chrome, które miało na celu personalizację serwisu YouTube, a które zostało porzucone przez jego autorów. Firma je kupiła i natychmiast przekształciła w oprogramowanie wyświetlające reklamy.

Nie szkodliwe, lecz niebezpieczne

Nawet te rozszerzenia, które nie są szkodliwe, mogą nieść ze sobą pewne zagrożenia: większość z nich może gromadzić wiele danych o użytkownikach (uprawnienie odczytu i zmiany wszystkich danych na odwiedzanych stronach). W celu uzyskania zysków niektórzy programiści sprzedają zgromadzone zanonimizowane dane firmom zewnętrznym. Zwykle jest to wspomniane w umowie użytkownika końcowego i nie ma w tym nic złego.

Problem w tym, że czasami dane nie są zanonimizowane wystarczająco dobrze, co prowadzi do poważnych kwestii związanych z prywatnością. Firmy, które nabywają takie dane, mogą zidentyfikować użytkowników danej wtyczki. Taka sytuacja miała miejsce w przypadku Web of Trust — popularniej niegdyś wtyczki do przeglądarek Chrome, Firefox, Internet Explorer, Opera, Safari i innych. Wtyczka została użyta do oceny reputacji stron na podstawie crowdsourcingu. Ponadto rozszerzenie gromadziło całą historię przeglądania swoich użytkowników.

Jak stwierdziła niemiecka strona, Web of Trust sprzedawał zgromadzone przez siebie dane podmiotom zewnętrznym bez przeprowadzenia właściwej anonimizacji, przez co Mozilla wycofała rozszerzenie ze swojego sklepu. Wówczas autorzy rozszerzenia usunęli je z pozostałych sklepów przeglądarkowych. Jednak miesiąc później rozszerzenie to znów było w nich dostępne. Web of Trust nie jest szkodliwym rozszerzeniem, niemniej jednak może zaszkodzić ludziom poprzez udostępnienie ich danych komuś, kto nie powinien otrzymywać informacji, które strony odwiedzają użytkownicy i co na nich robią.

Jak bezpiecznie korzystać z rozszerzeń

Mimo tego, że rozszerzenia mogą stanowić zagrożenie, bywają naprawdę przydatne. Z tego powodu prawdopodobnie mało kto byłby w stanie porzucić je tak po prostu. Sam korzystam z kilku i wiem na pewno, że dwa z nich potrzebują wspomnianych uprawnień odczytu i zmiany.

Oczywiście bezpieczniej byłoby nie korzystać z nich wcale, ale skoro zapewniają wygodę, warto poszukać złotego środka. Moja propozycja w tym temacie wygląda następująco:

  • Nie instaluj zbyt wielu rozszerzeń. Nie tylko mają one wpływ na wydajność komputera, lecz stanowią również potencjalny wektor ataku, więc lepiej zostaw sobie tylko te, których najbardziej potrzebujesz.
  • Instaluj rozszerzenia jedynie z oficjalnych sklepów — tam podlegają one szczegółowej analizie przeprowadzanej przez specjalistów od bezpieczeństwa.
  • Zwracaj uwagę na wymagane przez rozszerzenie uprawnienia. Jeśli zainstalowana wtyczka żąda jakichś nowych uprawnień, sytuacja taka powinna Cię bezwzględnie zaniepokoić — mogło ono zostać przechwycone lub sprzedane. Zanim zdecydujesz się na instalację, przejrzyj wymagane uprawnienia i zastanów się, czy pasują one funkcjonalności wybranej aplikacji. Jeśli nie możesz znaleźć logicznego wytłumaczenia na jakieś uprawnienie, lepiej nie instaluj rozszerzenia.
  • Korzystaj z porządnego programu ochronnego. Kaspersky Internet Security może wykrywać i neutralizować szkodliwy kod umieszczony w rozszerzeniu przeglądarki. Nasze produkty korzystają z obszernej bazy danych szkodliwych rozszerzeń, która jest często aktualizowana — a nowe szkodliwe rozszerzenia dla przeglądarki Chrome wykrywamy niemal codziennie.