Οι επεκτάσεις Chrome είναι ένας πολύ καλός τρόπος για να προσθέσετε νέες δυνατότητες και λειτουργίες στο πρόγραμμα περιήγησής σας. Ωστόσο, είναι σημαντικό να γνωρίζετε ότι ορισμένες επεκτάσεις μπορεί να είναι κακόβουλες και προσπαθούν να κλέψουν προσωπικά σας δεδομένα, όπως τους κωδικούς πρόσβασης.
Σε μια πρόσφατη μελέτη, ερευνητές από το Πανεπιστήμιο του Wisconsin-Madison διαπίστωσαν ότι περίπου 17.300 επεκτάσεις στο Chrome Web Store (12,5%) έχουν τα απαιτούμενα δικαιώματα για την εξαγωγή ευαίσθητων πληροφοριών από ιστότοπους, συμπεριλαμβανομένων και των κωδικών πρόσβασης.
Αυτό σημαίνει ότι εάν εγκαταστήσετε μία από αυτές τις κακόβουλες επεκτάσεις, θα μπορούσε να σας κλέψει τους κωδικούς πρόσβασής σας από οποιονδήποτε ιστότοπο επισκέπτεστε.
Το Πανεπιστήμιο του Wisconsin-Madison διαπίστωσε ότι υπάρχουν περίπου 17.300 κακόβουλες επεκτάσεις του Google Chrome στο Chrome Web Store
Η δημοσίευση της έρευνας ανέφερε αρκετούς αξιοσημείωτους ιστότοπους που δεν είχαν προστασία ασφαλείας:
- Gmail, όπου οι κωδικοί πρόσβασης απλού κειμένου ήταν ορατοί στον πηγαίο κώδικα HTML
- Cloudflare, όπου οι κωδικοί πρόσβασης απλού κειμένου ήταν επίσης ορατοί στον πηγαίο κώδικα HTML
- Facebook, όπου οι εγγραφές των χρηστών (user inputs) μπορούσαν να εξαχθούν μέσω του DOM API
- Citibank, όπου οι εγγραφές των χρηστών (user inputs) θα μπορούσαν επίσης να εξαχθούν μέσω του DOM API
- Το IRS, όπου οι αριθμοί κοινωνικής ασφάλισης (SSN) ήταν ορατοί σε μορφή απλού κειμένου στον πηγαίο κώδικα της ιστοσελίδας
- Capital One, όπου τα SSN ήταν επίσης ορατά σε μορφή απλού κειμένου στον πηγαίο κώδικα της ιστοσελίδας
- USENIX, όπου τα SSN ήταν επίσης ορατά σε μορφή απλού κειμένου στον πηγαίο κώδικα της ιστοσελίδας
- Amazon, όπου τα στοιχεία της πιστωτικής κάρτας (συμπεριλαμβανομένου του κωδικού ασφαλείας και του ταχυδρομικού κώδικα) ήταν ορατά σε μορφή απλού κειμένου στον πηγαίο κώδικα της σελίδας
Η έρευνα αναφέρει επίσης ότι αυτά είναι μόνο μερικά παραδείγματα ιστοτόπων που είναι ευάλωτες σε παραβιάσεις ασφάλειας. Είναι σημαντικό για όλους τους κατόχους ιστότοπων να λαμβάνουν μέτρα για την προστασία των δεδομένων των χρηστών τους, όπως η κρυπτογράφηση κωδικών πρόσβασης και η χρήση ενός ασφαλούς τείχους προστασίας εφαρμογών ιστού (WAF).
Πώς μπορούν οι επεκτάσεις του Chrome να κλέψουν κωδικούς πρόσβασης;
Ένας τρόπος είναι αν χρησιμοποιηθεί η άδεια “διαβάστε όλα τα δεδομένα σας σε όλους τους ιστότοπους” (read all your data on all websites). Αυτή η άδεια επιτρέπει στην επέκταση να διαβάζει τα περιεχόμενα οποιασδήποτε ιστοσελίδας, συμπεριλαμβανομένων των πεδίων των κωδικών πρόσβασης.
Ένας άλλος τρόπος με τον οποίο οι επεκτάσεις του Chrome μπορούν να υποκλέψουν κωδικούς πρόσβασης είναι η χρήση της άδειας “πρόσβαση στα δεδομένα σας σε όλους τους ιστότοπους” (access your data on all websites). Αυτή η άδεια επιτρέπει στην επέκταση να διαβάζει και να αλλάζει τα cookie του προγράμματος περιήγησής σας. Τα cookies χρησιμοποιούνται συχνά για την αποθήκευση κωδικών πρόσβασης, επομένως μια επέκταση με αυτήν την άδεια θα μπορούσε ενδεχομένως να κλέψει τους κωδικούς πρόσβασής σας από τα cookie σας.
Τι μπορείτε να κάνετε για να προστατευθείτε από κακόβουλες επεκτάσεις του Chrome:
Εγκαταστήστε επεκτάσεις μόνο από αξιόπιστες πηγές, όπως το Chrome Web Store.
Πριν εγκαταστήσετε μια επέκταση, διαβάστε τα δικαιώματα που ζητά. Εάν μια επέκταση ζητά την άδεια “ανάγνωση όλων των δεδομένων σας σε όλους τους ιστότοπους” ή “πρόσβαση στα δεδομένα σας σε όλους τους ιστότοπους”, να είστε πολύ προσεκτικοί με την εγκατάστασή της.
Διατηρήστε το πρόγραμμα περιήγησής σας Chrome ενημερωμένο. Η Google κυκλοφορεί τακτικά ενημερώσεις ασφαλείας για το Chrome, οι οποίες μπορούν να σας προστατεύσουν από κακόβουλες επεκτάσεις.
Χρησιμοποιήστε κάποιο διαχειριστή κωδικών πρόσβασης, για να αποθηκεύσετε τους κωδικούς πρόσβασής σας. Ένας διαχειριστής κωδικών πρόσβασης κρυπτογραφεί τους κωδικούς πρόσβασής σας και τους προστατεύσει από τα αδιάκριτα βλέμματα.
