Xác minh các tiện ích mở rộng của Google Chrome trước khi bạn cài đặt chúng
- Thể LoạI: Google Chrome
Tiện ích mở rộng của Google Chrome có thể mở rộng chức năng của trình duyệt web hoặc giúp cuộc sống dễ dàng hơn khi duyệt Web. Trong trường hợp đó, họ cũng có thể bị các công ty lạm dụng để theo dõi người dùng trên Internet, hiển thị quảng cáo hoặc tải mã độc vào hệ thống người dùng.
Bài viết này cung cấp cho bạn các phương tiện để xác minh các tiện ích mở rộng của Chrome trước khi bạn cài đặt chúng. Điều quan trọng là phải làm như vậy trước khi tiện ích mở rộng được cài đặt trong trình duyệt vì có thể đã quá muộn sau khi cài đặt.
Mặc dù bạn có thể thiết lập môi trường thử nghiệm cho các tiện ích mở rộng trình duyệt, chẳng hạn như trong Sandbox và với bộ theo dõi lưu lượng mạng như Wireshark, nhưng nó có thể không thực sự là điều mà hầu hết người dùng cảm thấy thoải mái.
Phần 0: Những gì bạn không nên tin tưởng
Cửa hàng Chrome trực tuyến có thể xuất hiện giống như một vị trí an toàn cho mọi nhu cầu về tiện ích mở rộng của bạn, nhưng thực tế không phải vậy. Google sử dụng kiểm tra tự động để quét các tiện ích mở rộng mà nhà phát triển tải lên cửa hàng. Những kiểm tra này bắt được một số nhưng không phải tất cả các dạng chức năng xâm phạm quyền riêng tư hoặc hoàn toàn độc hại.
Đã phát hiện ra Trend Micro chẳng hạn như các tiện ích mở rộng trình duyệt độc hại trong Cửa hàng trực tuyến chính thức vào năm 2014 và nó không phải là công ty duy nhất làm như vậy.
Một phương pháp phổ biến được các tiện ích mở rộng sử dụng để vượt qua tất cả các kiểm tra bảo mật là bao gồm một tập lệnh sẽ tải trọng tải độc hại.
Bản thân tiện ích mở rộng không chứa nó khi được gửi đến cửa hàng Chrome trực tuyến. Do đó, tiện ích mở rộng vượt qua kiểm tra và được thêm vào cửa hàng nơi tất cả người dùng Chrome có thể tải xuống.
Nếu bạn quan tâm đến một ví dụ khó chịu gần đây, hãy xem phần mềm độc hại trong trình duyệt bài báo của Maxime Kjear.
Mô tả được tạo bởi nhà phát triển tiện ích mở rộng và do đó không đáng tin cậy nếu không có xác minh.
Nhận xét của người dùng có thể làm nổi bật các tiện ích mở rộng có vấn đề, nhưng không phải lúc nào cũng vậy. Do đó, họ cũng không đáng tin cậy về mặt này nếu không được xác minh.
Cuối cùng nhưng không kém phần quan trọng, bạn không nên tin tưởng vào các đề xuất một cách mù quáng hoặc đề nghị cài đặt tiện ích mở rộng vì nó cần thiết cho một thứ gì đó hoặc được quảng cáo cho bạn.
Phần 1: Mô tả
Nhiều tiện ích mở rộng sử dụng phân tích, theo dõi lần nhấp, theo dõi lịch sử duyệt web của bạn và các biểu mẫu theo dõi khác làm nổi bật thực tế trong mô tả của tiện ích mở rộng.
Bạn có thể không nhìn thấy điều này ngay từ cái nhìn đầu tiên vì Google ủng hộ phong cách hơn chất lượng trong cửa hàng. Trường mô tả rất nhỏ và bạn thường phải cuộn để đọc hết.
Kiểm tra phổ biến Ảnh chụp màn hình tuyệt vời phần mở rộng chẳng hạn. Trông hợp pháp phải không? Rất nhiều đánh giá tích cực, hơn 580.000 người dùng.
Nếu bạn dành thời gian và cuộn qua mô tả, cuối cùng bạn sẽ bắt gặp đoạn văn sau:
Việc sử dụng tiện ích mở rộng trình duyệt Ảnh chụp màn hình tuyệt vời yêu cầu cấp cho nó quyền thu thập dữ liệu luồng nhấp chuột ẩn danh.
Muốn một ví dụ khác? Vậy còn Hover Zoom, một tiện ích mở rộng với hơn 1,2 triệu người dùng đã bị chỉ trích trong quá khứ vì tích hợp theo dõi thì sao? Cuộn xuống và bạn tìm thấy ..
Hover Zoom yêu cầu người dùng tiện ích mở rộng cấp quyền cho Hover Zoom để thu thập hoạt động duyệt web được sử dụng nội bộ và chia sẻ với các bên thứ ba để sử dụng trên cơ sở ẩn danh và tổng hợp cho mục đích nghiên cứu
Flash Player + là một tiện ích mở rộng khác làm nổi bật trong mô tả của nó rằng nó ghi lại dữ liệu và chia sẻ dữ liệu đó với các bên thứ ba.
Để liên tục hỗ trợ và cải tiến phần mềm này, người dùng cài đặt nó cho phép Fairshare thu thập và chia sẻ thông tin về chúng và hoạt động sử dụng web của họ với các bên thứ ba cho mục đích kinh doanh và nghiên cứu
Một cách nhanh chóng để tìm các tiện ích mở rộng này là tìm kiếm các cụm từ được sử dụng trong các mô tả đó. Ví dụ: một tìm kiếm chọn không tham gia cho thấy nhiều người trong số họ trong kết quả tìm kiếm (bên cạnh các tiện ích mở rộng hợp pháp). Nhiều người sử dụng cùng một mô tả có nghĩa là tìm kiếm 'thu thập và chia sẻ thông tin về chúng' sẽ tiết lộ các tiện ích mở rộng sử dụng loại theo dõi này chẳng hạn.
Phần 2: Thông tin trực tiếp
Thông tin sau được hiển thị trên trang hồ sơ của tiện ích mở rộng trên Cửa hàng Chrome trực tuyến:
Công ty hoặc cá nhân đã tạo ra nó / cung cấp nó.
Xếp hạng tổng hợp và số lượng người dùng đã xếp hạng.
Tổng số người dùng.
Ngày cập nhật cuối cùng.
Phiên bản.
Thông tin cung cấp cho bạn manh mối nhưng chúng không đủ để đánh giá việc gia hạn. Nhiều ví dụ có thể bị làm giả hoặc bị thổi phồng một cách giả tạo.
Google không cung cấp liên kết đến tất cả các tiện ích mở rộng của một công ty hoặc cá nhân và không có tùy chọn nào để xác thực.
Mặc dù bạn có thể sử dụng tìm kiếm để tìm các tiện ích mở rộng khác của một công ty hoặc cá nhân, nhưng không có gì đảm bảo rằng kết quả liệt kê tất cả.
Phần 3: Quyền
Thông thường không thể xác định xem tiện ích mở rộng là hợp pháp, đang theo dõi bạn hay hoàn toàn độc hại chỉ dựa trên các quyền mà tiện ích đó yêu cầu.
Tuy nhiên, có những chỉ số về điều đó. Ví dụ: nếu một tiện ích mở rộng cải thiện Facebook yêu cầu 'đọc và thay đổi tất cả dữ liệu của bạn trên các trang web bạn truy cập', bạn có thể đi đến kết luận rằng bạn không nên cài đặt tiện ích đó dựa trên đó. Vì nó chỉ hoạt động trên Facebook nên không cần phải cấp cho nó các quyền sâu rộng để xem và thao tác dữ liệu trên tất cả các trang web.
Tuy nhiên, đây chỉ là một chỉ báo nhưng nếu sử dụng cách hiểu thông thường, bạn có thể tránh cài đặt các tiện ích mở rộng có vấn đề. Thông thường, có một giải pháp thay thế có sẵn cung cấp chức năng tương tự nhưng không có yêu cầu cấp phép trên phạm vi rộng.
Bạn cũng có thể muốn kiểm tra các quyền này cho tất cả các tiện ích mở rộng đã cài đặt. Tải chrome: // extensions / và nhấp vào liên kết chi tiết bên dưới mỗi tiện ích. Điều này hiển thị lại tất cả các yêu cầu quyền của tiện ích mở rộng đó dưới dạng cửa sổ bật lên trong trình duyệt.
Phần 4: Chính sách quyền riêng tư
Với điều kiện là tiện ích mở rộng liên kết đến trang Chính sách quyền riêng tư, bạn có thể tìm thấy thông tin trong đó cho biết liệu người dùng có bị nó theo dõi hay không. Điều này sẽ không hoạt động một cách quên lãng đối với các tiện ích mở rộng hoàn toàn độc hại.
Ví dụ: nếu bạn xem Chính sách quyền riêng tư của Fairshare được liên kết từ các tiện ích mở rộng như Hover Zoom, bạn sẽ tìm thấy đoạn văn sau trong đó:
Công ty có thể sử dụng cookie của trình duyệt, dữ liệu lưu trữ web và DOM, cookie Adobe Flash, pixel, đèn hiệu và các công nghệ theo dõi và thu thập dữ liệu khác, có thể bao gồm một số nhận dạng duy nhất ẩn danh.
Các công nghệ này có thể được sử dụng để thu thập và lưu trữ thông tin về việc bạn sử dụng Dịch vụ, bao gồm nhưng không giới hạn, các trang web, tính năng và nội dung bạn đã truy cập, truy vấn tìm kiếm bạn đã chạy, thông tin URL giới thiệu, liên kết bạn đã nhấp vào và quảng cáo cho bạn đã thấy.
Dữ liệu này được sử dụng cho các mục đích kinh doanh như cung cấp các quảng cáo và nội dung có liên quan hơn và nghiên cứu thị trường
Phần 5: Mã nguồn
Xem qua mã nguồn có thể là tùy chọn tốt nhất mà bạn phải tìm hiểu xem tiện ích mở rộng đang theo dõi bạn hay độc hại.
Điều này có thể không liên quan đến kỹ thuật và người ta thường có thể xác định được điều đó bằng các kỹ năng HTML và JavaScript thô sơ.
Điều đầu tiên bạn cần là một tiện ích mở rộng cho phép bạn lấy mã nguồn của tiện ích mở rộng mà không cần cài đặt nó. Trình xem nguồn tiện ích mở rộng của Chrome là một tiện ích mở rộng mã nguồn mở dành cho Chrome giúp bạn điều đó.
Một giải pháp thay thế cho điều đó là chạy Chrome trong môi trường hộp cát, cài đặt các tiện ích mở rộng trong đó để có quyền truy cập vào tệp của chúng.
Nếu bạn sử dụng trình xem mã nguồn của tiện ích mở rộng, bạn có thể nhấp vào biểu tượng crx trong thanh địa chỉ trên Cửa hàng trực tuyến của Chrome để tải xuống tiện ích mở rộng dưới dạng tệp zip hoặc xem nguồn của nó ngay lập tức trong trình duyệt.
Bạn có thể bỏ qua tất cả các tệp .css và hình ảnh ngay lập tức. Các tệp bạn nên xem kỹ thường có phần mở rộng .js hoặc .json.
Trước tiên, bạn có thể kiểm tra tệp manifest.json và kiểm tra giá trị content_security_policy để xem danh sách các miền ở đó nhưng điều đó thường là không đủ.
Một số tiện ích mở rộng sử dụng tên rõ ràng cho các tệp theo dõi, ví dụ: quảng cáo để bạn có thể muốn bắt đầu ở đó.
Bạn có thể không biết nếu bạn không biết JavaScript, tuy nhiên nếu đó không phải là trường hợp.
Bây giờ bạn : Bạn có chạy các tiện ích mở rộng của Chrome không? Bạn đã xác minh chúng trước khi cài đặt chưa?