Знаете ли вы, что расширения браузера могут просматривать ваши онлайн платежи?

Расширения могут видеть остатки на вашем счету, ваши транзакции и ваш пароль от онлайн-банкинга. Они видят все в вашем браузере: пароли, номера кредитных карт, личные сообщения и веб-сайты, которые вы посещаете.

Расширения имеют полный доступ к контенту вашего веб-браузера

Вы когда-нибудь обращали внимание на сообщение, которое вы видите при установке расширения, например, для браузера Google Chrome? Для большинства расширений браузера вы увидите сообщение о том, что устанавливаемое расширение может «просматривать и изменять ваши данные на посещаемых сайтах».

Это означает, что расширение браузера имеет полный доступ ко всем веб-страницам, которые вы посещаете. Оно может видеть, какие веб-страницы вы просматриваете, читать их содержимое и видеть все, что вы вводите. Расширение может даже изменять веб-страницы, например, добавляя дополнительные рекламные объявления. Если расширение является вредоносным, оно может собирать ваши личные данные – от активности просмотра веб-страниц и электронных писем, которые вы вводите, до ваших паролей и финансовой информации – и отправлять их на удаленный веб-сервер.

Итак, когда вы авторизуетесь в своей учетной записи онлайн-банкинга, расширения вашего браузера так же получают доступ к содержимому страницы. Они могут видеть ваш пароль, когда вы авторизуетесь, и просматривать все, что вы видите в своей учетной записи онлайн-банкинга. Они даже могут изменить страницу онлайн-банкинга, прежде чем вы ее увидите.

Есть система разрешений, но большинство расширений имеют полный доступ

Конечно, не каждое расширение может иметь доступ ко всем веб-страницам, включая онлайн-банкинг. В современных веб-браузерах, таких как Google Chrome, Microsoft Edge, Opera, Mozilla Firefox и Apple Safari, существует система разрешений для плагинов. Некоторые расширения браузера используют гораздо меньше разрешений.

Например, они могут запускаться только тогда, когда вы нажимаете кнопку расширения браузера, что означает, что они не имеют фактически никакого доступа для просмотра веб-страниц, пока вы не нажмете на функциональную кнопку расширения. Они могут работать только на определенных веб-сайтах – например, расширение браузера, влияющее на Gmail, может работать только на веб-сайте Google, и не иметь доступа к остальным веб-сайтам.

Однако подавляющее большинство расширений браузера, которые использует большинство людей, имеют разрешение на запуск на каждом веб-сайте, загружаемом браузером.

В браузерах Google Chrome, Microsoft Edge и Opera вы можете управлять разрешениями «доступа к данным сайта» расширения и выбирать, будет ли оно запускаться автоматически на всех веб-сайтах, которые вы открываете, только при нажатии на них, или только на определенных веб-сайтах, которые вы укажите.

Насколько опасен полный доступ расширений?

Большинство (или все) расширения браузера, которые вы используете, могут видеть информацию о вашем банковском счете, так же, как они могут видеть все остальное, что вы делаете в Интернете с помощью веб-браузера.

Если расширение для браузера полностью заслуживает доверия и надежно, то это нормально. Расширение браузера может вести себя ответственно и не собирать никаких данных и не мешать обработке вашей банковской информации или другой конфиденциальной информации.

Если же расширение браузера не заслуживает доверия, то оно может злоупотребить полным доступом – подобное возможно.

Это не просто теоретическая проблема. Прецеденты уже были. Например, Вредоносные дополнения для Chrome и Edge занимаются кражей пользовательских данных и перенаправлением пользователей на мошеннические ресурсы или Из Интернет-магазина Chrome удалено более 100 шпионских расширений с аудиторией 32 миллиона пользователей.

Разработчик может продать расширение другой компании, и эта компания может добавить код отслеживания, кейлоггеры или что-то подобное. Это большой бизнес. Расширение может отображать рекламу на загружаемых вами веб-страницах и отслеживать ваши действия, чтобы лучше настраивать таргетинг рекламы, или злоумышленники могут захватывать ваши пароли, личную информацию и номера кредитных карт.

Ваш браузер автоматически установит обновление, и новая вредоносная версия расширения начнет действовать. Надеюсь, разработчик вашего браузера заметит проблему и отключит расширение – например, Google может удалить его из Интернет-магазина Chrome – но на это может потребоваться некоторое время.

И да, некоторые расширения были были пойманы на краже банковских данных.

Устанавливайте расширения только от разработчиков, которым вы доверяете

Мы не говорим вам, что вам нужно удалить все имеющиеся у вас расширения браузера. Вместо этого просто осознайте огромный риск к доступу, который вы предоставляете устанавливаемым расширениям браузера, и действуйте соответственно.

Если вы доверяете разработчику расширения, то конечно стоит установить предлагаемое расширение. Например, если вы используете менеджер паролей и уже доверяете этой организации свои пароли, смело устанавливайте расширение браузера для менеджера паролей. (Если вы не доверяете этой организации установку расширения для браузера, вам определенно не следует доверять ей управление своими паролями!).

С другой стороны, если вам нужна отличная функция и вы найдете расширение, которое её предлагает, но вы никогда не слышали о разработчике и не уверены, насколько ему можно доверять – подумайте о том, что возможно вам следует проигнорировать данное расширение браузера.

Вы также можете ограничить доступ, который имеет расширение. Например, вы можете установить расширение и настроить его для работы только на определенных веб-сайтах в Chrome, Edge или Opera, или вы можете использовать отдельный браузер, в котором не установлены какие-либо потенциально опасные расширения и в нем безопасно пользоваться онлайн-банкингом.

В конечном итоге расширения браузера имеют доступ ко всему, что вы делаете в своем браузере. Когда вы думаете об установке расширения браузера, задайте себе следующий вопрос: вы бы установили настольное приложение для Windows от создателя расширения и позволили бы ему работать в фоновом режиме на вашем компьютере? Если нет, подумайте также о том, что вам стоит пропустить данное расширение и не устанавливать его.

Ограничиваете или вы доступ расширений в используемых браузерах?