Rủi ro bảo mật từ tiện ích mở rộng trình duyệt: Cách add-on đánh cắp dữ liệu của bạn
Tìm hiểu cách tiện ích mở rộng trình duyệt độc hại đánh cắp mật khẩu, chèn quảng cáo và theo dõi lịch sử duyệt web. Các trường hợp thực tế trên Chrome Web Store, dấu hiệu cảnh báo về quyền và cách kiểm tra tiện ích đã cài đặt.
Rủi ro bảo mật từ tiện ích mở rộng trình duyệt: Cách add-on đánh cắp dữ liệu của bạn
Chặn quảng cáo, quản lý mật khẩu, kiểm tra chính tả, tìm mã giảm giá. Hầu hết mọi người cài đặt tiện ích mở rộng trình duyệt mà không suy nghĩ gì nhiều vì chúng thực sự tiện lợi. Nhưng mỗi tiện ích đều là một phần mềm chạy bên trong trình duyệt, và tùy thuộc vào quyền bạn cấp, nó có thể truy cập gần như mọi thứ bạn làm trên mạng.
Không phải tiện ích nào cũng được tạo ra với mục đích tốt. Có những tiện ích ngay từ đầu đã được thiết kế để thu thập dữ liệu. Có những tiện ích ban đầu hoạt động bình thường nhưng sau đó bị bán cho bên thứ ba và bị cài mã độc qua bản cập nhật. Quy trình kiểm duyệt của Chrome Web Store còn nhiều lỗ hổng.
Tiện ích truy cập dữ liệu của bạn như thế nào
Khi cài đặt tiện ích, bạn sẽ cấp cho nó các quyền. Những quyền này quyết định tiện ích có thể xem và làm được gì.
- Đọc và thay đổi dữ liệu trên tất cả trang web: có thể xem mọi trang bạn truy cập, mọi biểu mẫu bạn điền, mọi mật khẩu bạn gõ
- Đọc lịch sử duyệt web: truy cập toàn bộ URL bạn đã truy cập
- Quản lý tải xuống: có thể kích hoạt tải xuống hoặc đọc lịch sử tải xuống
- Thay đổi dữ liệu sao chép và dán: có thể chặn mật khẩu và nội dung nhạy cảm đã sao chép vào clipboard
- Giao tiếp với ứng dụng gốc: có thể tương tác với phần mềm bên ngoài trình duyệt
Hầu hết người dùng không đọc danh sách quyền mà nhấn thẳng "Thêm vào Chrome". Chỉ một cú nhấp chuột đó có thể trao cho một nhà phát triển lạ quyền truy cập vào phiên ngân hàng trực tuyến, tài khoản email và mọi mật khẩu của bạn.
Các trường hợp tiện ích độc hại thực tế
Đây không phải là kịch bản giả định. Đây là các trường hợp đã được ghi nhận về tiện ích bị phát hiện đánh cắp dữ liệu người dùng.
The Great Suspender (2021)
Tiện ích Chrome phổ biến này với hơn 2 triệu người dùng đã bị bán cho một thực thể không rõ danh tính. Chủ sở hữu mới đẩy bản cập nhật chứa mã độc theo dõi lịch sử duyệt web và chèn quảng cáo. Google cuối cùng đã gỡ nó khỏi Chrome Web Store.
DataSpii (2019)
Các nhà nghiên cứu bảo mật phát hiện rằng nhiều tiện ích phổ biến, bao gồm Hover Zoom và SpeakIt, đang thu thập mọi URL mà người dùng truy cập và bán dữ liệu cho một công ty phân tích. Dữ liệu thu thập bao gồm tờ khai thuế, thông tin bệnh nhân, lịch trình du lịch và các tài liệu cá nhân khác.
Web Developer for Chrome (2017)
Tài khoản nhà phát triển bị chiếm quyền được sử dụng để đẩy bản cập nhật độc hại cho hơn 1 triệu người dùng. Phiên bản bị xâm nhập chèn quảng cáo vào mọi trang web mà người dùng truy cập.
Nano Adblocker và Nano Defender (2020)
Sau khi được bán cho nhà phát triển mới, hai tiện ích chặn quảng cáo phổ biến này bị cập nhật mã thu thập dữ liệu duyệt web và thao túng tài khoản mạng xã hội, ảnh hưởng đến hơn 300.000 người dùng.
Dấu hiệu cảnh báo về quyền
Không phải mọi quyền đều nguy hiểm, nhưng một số quyền nên khiến bạn suy nghĩ kỹ trước khi cài đặt.
| Quyền | Mức độ rủi ro | Lý do |
|---|---|---|
| Đọc và thay đổi dữ liệu trên tất cả trang web | Cao | Truy cập toàn bộ mọi thứ trong trình duyệt |
| Đọc lịch sử duyệt web | Cao | Xem được toàn bộ lịch sử truy cập |
| Quản lý tải xuống | Trung bình | Có thể kích hoạt tải xuống không mong muốn |
| Thay đổi dữ liệu sao chép/dán | Cao | Đánh cắp mật khẩu và văn bản nhạy cảm đã sao chép |
| Đọc và thay đổi dấu trang | Thấp | Ảnh hưởng quyền riêng tư hạn chế |
| Hiển thị thông báo | Thấp | Có thể gây phiền nhưng không nguy hiểm |
| Quản lý ứng dụng, tiện ích và giao diện | Cao | Có thể cài đặt hoặc sửa đổi tiện ích khác |
Nguyên tắc chung: nếu một công cụ đơn giản (như công cụ chọn màu hay chụp ảnh màn hình) yêu cầu quyền đọc dữ liệu trên tất cả trang web, đó là dấu hiệu bất thường. Quyền phải phù hợp với chức năng.
Cách kiểm tra tiện ích đã cài đặt
Chrome
- Nhập
chrome://extensions/vào thanh địa chỉ - Xem từng tiện ích, nhấn "Chi tiết" để kiểm tra quyền
- Xóa những tiện ích không nhận ra hoặc không còn sử dụng
- Với mỗi tiện ích giữ lại, kiểm tra: nhà phát triển có uy tín không? Lần cập nhật cuối là khi nào? Quyền có phù hợp với chức năng không?
Firefox
- Nhập
about:addonsvào thanh địa chỉ - Nhấn vào từng tiện ích để xem quyền
- Firefox hiển thị chi tiết quyền khi cài đặt. Nếu bạn bỏ qua, có thể kiểm tra trên addons.mozilla.org
Edge
- Nhập
edge://extensions/vào thanh địa chỉ - Quy trình giống Chrome. Edge sử dụng cùng định dạng tiện ích nên hệ thống quyền tương tự
Safari
- Vào Safari > Cài đặt > Phần mở rộng
- Xem mỗi tiện ích có quyền truy cập trang web nào
- Safari hạn chế tiện ích chặt chẽ hơn Chrome, nhưng vẫn nên kiểm tra những gì đã cài
Thực hiện kiểm tra này mỗi 3 tháng. Tiện ích có thể thay đổi chủ sở hữu và đẩy bản cập nhật độc hại bất cứ lúc nào.
Các phương pháp hay nhất để sử dụng tiện ích an toàn
- Cài ít nhất có thể: chỉ giữ những gì thực sự sử dụng. Mỗi tiện ích là một bề mặt tấn công tiềm năng
- Ưu tiên tiện ích mã nguồn mở: tiện ích như uBlock Origin có mã công khai để các nhà nghiên cứu bảo mật kiểm tra
- Kiểm tra nhà phát triển: công ty có website và danh tiếng đáng tin cậy hơn nhà phát triển ẩn danh
- Đọc đánh giá gần đây: đánh giá tiêu cực tăng đột biến thường là dấu hiệu của bản cập nhật độc hại hoặc thay đổi chủ sở hữu
- Kiểm tra quyền trước khi cài: nếu tiện ích tìm mã giảm giá yêu cầu đọc toàn bộ dữ liệu duyệt web, hãy tìm tiện ích khác
- Cập nhật trình duyệt: bản cập nhật trình duyệt thường bao gồm bản vá bảo mật hạn chế hành vi tiện ích
- Sử dụng hồ sơ trình duyệt riêng biệt: dùng hồ sơ không có tiện ích nào cho ngân hàng trực tuyến và các thao tác nhạy cảm
- Theo dõi thay đổi quyền sở hữu: nếu nhận được thông báo chính sách bảo mật của tiện ích thay đổi, hãy kiểm tra ngay
Thông tin nhạy cảm cần được bảo vệ tốt hơn
Tiện ích trình duyệt chỉ là một trong nhiều con đường mà dữ liệu của bạn có thể bị xâm phạm. Nếu bạn thường xuyên chia sẻ mật khẩu, mã truy cập hoặc ghi chú bảo mật qua trình duyệt, rủi ro sẽ tăng gấp bội.
Thay vì gửi mật khẩu trực tiếp qua Zalo, nơi tin nhắn tồn tại mãi trong lịch sử trò chuyện và tiện ích độc hại có thể chặn được, hãy dùng công cụ chuyên dụng. LOCK.PUB cho phép bạn tạo liên kết được bảo vệ bằng mật khẩu cho bất kỳ văn bản nào, kèm thời gian hết hạn. Người nhận mở liên kết, nhập mật khẩu và đọc nội dung. Không có tiện ích nào có thể thu thập nó từ lịch sử trò chuyện vì nó chưa bao giờ nằm ở đó.
Hãy kiểm soát bảo mật trình duyệt của bạn
Trình duyệt là cánh cổng dẫn đến các tài khoản nhạy cảm nhất của bạn. Mỗi tiện ích bạn cài đặt đều thêm một điểm yếu tiềm ẩn. Hãy kiểm tra tiện ích ngay hôm nay, gỡ bỏ những gì không cần, và cẩn thận hơn với những gì bạn cài trong tương lai. Khi chia sẻ thông tin nhạy cảm, hãy sử dụng công cụ đáng tin cậy như LOCK.PUB.
Từ khóa
Bài viết liên quan
Công nghệ định vị điện thoại: GPS, trạm phát sóng và Wi-Fi hoạt động như thế nào
Tìm hiểu chi tiết cách điện thoại xác định vị trí của bạn qua GPS, trạm BTS và Wi-Fi. So sánh độ chính xác, tiêu hao pin và rủi ro quyền riêng tư của từng phương pháp.
Gửi số tài khoản qua tin nhắn có an toàn không? Cách chia sẻ thông tin ngân hàng an toàn
Bạn vẫn gửi số tài khoản qua Zalo? Tìm hiểu tại sao điều đó rủi ro và 4 cách an toàn hơn để chia sẻ thông tin ngân hàng, số thẻ và thông tin thanh toán.
Giao dịch P2P tiền mã hóa an toàn — Tránh lừa đảo khi chia sẻ thông tin thanh toán
Tìm hiểu các chiêu trò lừa đảo phổ biến trong giao dịch P2P tiền mã hóa và cách chia sẻ thông tin ngân hàng một cách an toàn. Phòng tránh ảnh chuyển khoản giả, hoàn tiền gian lận và chiếm quyền clipboard.
Tạo liên kết được bảo vệ bằng mật khẩu ngay
Tạo liên kết bảo mật, ghi chú bí mật và trò chuyện mã hóa miễn phí.
Bắt Đầu Miễn Phí