بیشتر انعطاف پذیری و قدرت کروم از اکوسیستم افزونه ها سرچشمه می گیرد. مشکلی که وجود دارد این است که افزونه ها می توانند اطلاعات را به سرقت ببرند، هر حرکت شما را مشاهده کنند و یا موارد بدتر. در پست امروز کلاسیک وب ما قصد داریم به سوال چگونه برای جلوگیری از هک کروم از امنیت و سالم بودن افزونه ها قبل از دانلود و نصب مطمئن شویم؟ پاسخ دهیم.
بررسی امنیت افزونه کروم قبل از نصب جهت جلوگیری از هک، دزدی و کلاهبرداری
How to Make Sure a Chrome Extension is Safe Before Installing It
افزونه گوگل کروم می توانند قابلیت مرورگر وب شما را گسترش دهد و کار شما را راحت تر کنند اما گاهی اوقات افزونه ها بسیار خطرناک می شوند. این ابزارهای کوچک معمولا به تمام چیزهایی که شما به صورت آنلاین انجام می دهید دسترسی پیدا می کنند به طوری که می توانند کلمات عبور را ضبط، مرور صفحات وب شما را پیگیری، تبلیغات را در صفحات وبی که شما بازدید می کنید درج کنند و غیره.
افزونه های مرورگر مشهور اغلب به شرکت های دیگر فروخته می شود و یا مورد دزدی در کروم واقع می شدند و آپدیت های خودکار می تواند آنها را به نرم افزارهای مخرب تبدیل کند. این مشکل جدید نیست و از قبل وجود دارد و هنوز بهبود پیدا نکرده است به همین دلیل ما قصد داریم نحوه بررسی امنیت افزونه کروم قبل از نصب را به شما کاربران گرامی کلاسیک وب آموزش دهیم.
چرا افزونه کروم می تواند خطرناک باشد؟
وقتی شما یک افزونه کروم را نصب می کنید وارد رابطه ای مبتنی بر اعتماد با سازنده افزونه می شوید. شما به این افزونه اجازه می دهید در مرورگرتان مقیم شود و به طور بالقوه تمام کارهایی که انجام می دهید را تماشا کند. اگر یک افزونه به تمام صفحات وبی که شما بازدید می کنید دسترسی پیدا کند می تواند عملا هر کاری انجام دهد به طور مثال می تواند مانند یک کی لاگر عمل کند و کلمات عبور و جزئیات کارت اعتباری شما را ذخیره کند، در صفحاتی که بازدید می کنید تبلیغات قرار دهد و غیره.
مرورگرهای وب امروزی مانند گوگل کروم و مایکروسافت اج دارای یک سیستم مجوز برای افزونه ها هستند. شما ممکن است مجوزی را تایید کنید که ممکن است به طور واقعی وجود نداشته باشد. بدتر از همه حتی افزونه های قابل اعتماد می توانند به خطر بیفتند و به افزونه های مخربی تبدیل شوند و اطلاعات شما را به سرقت می برند. در حالت دیگر یک توسعه دهنده می تواند یک افزونه کاربردی ایجاد کند که درآمدی نداشته باشد و بعد آن را به شرکت دیگری انتقال دهد و آن شرکت افزونه را با تبلیغات و سایر ابزارهای ردیابی پر کند تا سود خود را بدست آورد. به طور خلاصه راه های زیادی وجود دارد که باعث می شود افزونه های مرورگر خطرناک شوند. بنابراین نه تنها شما هنگام نصب افزونه باید مراقب باشید بلکه باید به طور مداوم پس از نصب، افزونه را نظارت کنید.
چگونه افزونه های امن به نرم افزارهای مخرب تبدیل می شوند؟
مرورگرهای وب امروزی مانند گوگل کروم به طور خودکار افزونه هایی که نصب کرده اید را بروزرسانی می کنند. اگر یک افزونه نیاز به مجوزهای جدیدی داشته باشند تا زمانی که به آن اجازه ندهید به طور موقت غیرفعال خواهند شد. اما اگر همان مجوزهای نسخه قبلی را اجرا کند نسخه جدید اجرا خواهد شد و این منجر به مشکلاتی می شود. در آگوست سال ۲۰۱۷ میلادی بسیاری از افزونه های مشهور و محبوب کروم سرقت دیجیتال شدند.
توسعه دهندگان مورد حمله فیشینگ کروم قرار گرفته بودند و مهاجمان با اضافه کردن تبلیغات و برنامه های مخرب دوباره آنها را آپلود می کردند. بیش از یک میلیون نفر که به توسعه دهنده این افزونه های محبوب اعتماد داشتند این افزونه را دانلود و مورد حمله قرار گرفتند. برای جلوگیری از حملات فیشینگ، شما می توانید از کاربردی ترین افزونه ها برای جلوگیری از هک فیشینگ در گوگل کروم استفاده کنید.
در بسیاری از موارد دیگر توسعه دهنده ای که تعداد بسیار زیادی از کاربران را بدست آورده است افزونه خود را در قبال پول به شرکت ها می فروشند و این شرکت ها تبلیغات و برنامه های ردیابی را در افزونه ها تعبیه می کنند. از این به بعد این شرکت جدید است که افزونه را برای استفاده کاربران در فروشگاه وب کروم آپلود می کند. در جولای سال ۲۰۱۷ میلادی این اتفاق برای افزونه Particle For YouTube که یک افزونه سفارشی سازی یوتیوب بود رخ داد.
همین امر در مورد بسیاری از افزونه های قدیمی دیگر نیز اتفاق افتاده است. توسعه دهندگان افزونه کروم ادعا می کنند که دائما برای خرید افزونه هایشان پیشنهاداتی دریافت می کنند، شما می توانید با استفاده از ۳ روش جلوگیری از هک با دامنه و آدرس جعلی در روش فیشینگ از خود محافظت کنید.
چگونه خطرات هک مرورگر گوگل کروم را کاهش دهیم؟
ممکن است چند افزونه را در مرورگر خود نصب داشته باشید افزونه ها را بررسی کنید و آنهایی را که زیاد از آنها استفاده نمی کنید را پاک کنید. از شرکت های قابل اعتمادتان استفاده کنید به طور مثال دانلود افزونه سفارشی سازی یوتیوب از یک شخص تصادفی که چیزی در مورد او نمی دانید یک گزینه عالی برای تبدیل شدن افزونه به نرم افزار مخرب است. به طور مثال افزونه Gmail Notifier توسط گوگل، افزونه OneNote توسط مایکروسافت یا افزونه مدیریت پسورد LastPass توسط LastPass ساخته شده است که هرگز در قبال هزاران دلار فروخته نخواهند شد و قابل اعتماد هستند.
از مرورگرهایی که از سیستم مجوز استفاده نمی کنند سعی کنید استفاده نکنید و همچنین هرگز از افزونه هایی که سعی دارند مجوز دسترسی به اطلاعات حساس شما (مانند ایمیل) را بدست آورند استفاده نکنید. شما می توانید با استفاده از ۴ سایتی که قبلا به شما معرفی کردیم متوجه شوید که آیا ایمیل ، اکانت و .. شما هک شده است یا نه.
بررسی امنیت افزونه کروم قبل از نصب
قبلا ۸ راهکار جلوگیری از استخراج غیر قانونی بیت کوین در مرورگر کروم، فایرفاکس و غیره را به شما آموزش دادیم در این پست اشاره کردیم که هکرها یا سارقان دیجیتال می توانند از منابع سیستم شما (حتی افزونه های شما) به نفع خودشان استفاده کنند. برای حفظ امنیت در هنگام استفاده از افزونه های مرورگر چند نکته کلیدی وجود دارد که باید به آن توجه داشته باشید:
نحوه شناسایی افزونه های خطرناک کروم
همانطور که در مطلب شناسایی برنامه جعلی و تقلبی اندروید نیز اشاره کردیم، قبل از نصب یک افزونه جدید اولین چیزی که باید بررسی کنید توسعه دهنده است. به طور کلی این بدان معنا نیست که هر افزونه توسط یک توسعه دهنده یا برنامه نویس منفرد نوشته شده است، فقط باید قبل از اینکه اعتماد کنید دقیق تر بررسی ها را انجام دهید. افزونه های قانونی و درستی وجود دارد که ویژگی های کاربردی را به سرویس های دیگر اضافه می کند که اگر بخواهیم در این مورد مثالی بیاوریم افزونه Ink for Google مورد خوبی است. همانطور که در تصویر زیر مشاهده می کنید شما می توانید نام توسعه دهنده این افزونه را در زیر نام افزونه و پس از عبارت Offered By مشاهده کنید.
در بسیاری از موارد شما می توانید با کلیک کردن روی نام توسعه دهنده به وب سایت توسعه دهنده هدایت خواهید شد و شما می توانید اطلاعات بیشتری در مورد توسعه دهنده افزونه بدست آورید. خب اگر توسعه دهنده وب سایت نداشته باشد چکار کنیم؟
با مطالعه توضیحات افزونه از هک شدن خود جلوگیری کنید
به جای اینکه فقط قسمتی از توضیحات را بخوانید تمام آن را مطالعه کنید ممکن است در متن توضیحات چیز مشکوکی به چشمتان بخورد مخصوصا قسمت هایی مانند اشتراک گذاری اطلاعات و اطلاعات رهگیری را مطالعه کنید. همه افزونه ها دارای این جزئیات نیستند و این چیزی است که شما می خواهید بدانید. مانند تصویر زیر شما می توانید توضیحات را در سمت راست پنجره و کنار تصویر افزونه مشاهده کنید.
بررسی افزونه مخرب کروم در فروشگاه کروم
در فروشگاه وب کروم اطلاعات زیر در صفحه پروفایل افزونه قابل مشاهده است:
- این افزونه توسط یک شرکت ساخته شده است یا یک شخص منفرد
- نرخ تراکم و تعداد کاربرانی که افزونه را ارزیابی کرده اند
- تعداد کل کاربران
- آخرین تاریخ بروزرسانی
- ورژن
اطلاعات به شما برای جلوگیری از هک شدن سرنخ می دهند اما برای قضاوت افزونه به تنهایی کافی نیستند. برای مثال می توان بسیاری از موارد را به صورت مصنوعی تغییر داد. گوگل در مورد فراهم کردن یک لینک به تمام افزونه های یک شرکت یا یک توسعه دهنده منفرد کوتاهی می کند و گزینه ای برای تایید اعتبار وجود ندارد. در حالی که شما برای افزونه های دیگری که توسط یک شرکت یا یک برنامه نویس منفرد سرچ کنید هیچ تضمینی وجود ندارد که تمام آنها در نتیجه لیست شوند.
به مجوزها افزونه توجه کنید
وقتی شما سعی دارید افزونه ای را به گوگل کروم اضافه کنید یک پاپ آپ مانند تصویر زیر به شما نمایش داده می شود و به شما هشدار می دهد که برای اضافه کردن این افزونه به چه مجوزهایی نیاز است. در اینجا گزینه ای برای انتخاب مجوزها وجود ندارد و با اصلاح همه یا هیچ مواجه هستید. بعد از کلیک روی دکمه Add To Chrome این منو را مشاهده خواهید کرد. قبل از اینکه بتوانید این افزونه را نصب کنید باید این مجوزها را تایید کنید. به چیزهایی که می خوانید دقت و فکر کنید. برای افزونه Honey همانطور که می بینید شما باید اجازه دهید تا افزونه اطلاعات شما را در وب سایت هایی که مشاهده می کنید بخواند و تغییر دهد یا شما باید موافقت کنید و روی Add Extension کلیک کنید یا منصرف شوید و روی Cancel کلیک کنید.
روش جلوگیری هک کروم از طریق افزونه با مطالعه نظرات
وارد قسمت Reviews شوید و کامنت ها یا نظراتی که کاربران دیگر در مورد افزونه داده اند را مطالعه بفرمایید، محتواهای مشکوک را جستجو کنید. نظرات کاربرانی که شکایت کرده اند را بخوانید اگر دیدید که چند کاربر از افزونه راضی نیستند بهتر است این افزونه را نادیده بگیرید. شما می توانید برای محافظت از خود روی بوک مارک هایتان پسورد بگذارید.
جلوگیری از کلاهبرداری در کروم با بررسی سورس کد
اگر یک افزونه متن باز است و شما از برنامه نویسی سر در میاورید می توانید کدهای افزونه را بررسی کنید. البته تعداد بسیار زیادی از افزونه ها متن باز نیستند اما در صورت مواجه شدن با افزونه های متن باز معمولا کدها در وب سایت توسعه دهنده افزونه قرار گرفته است. افزونه Chrome Extension Source Viewer یک افزونه متن باز برای کروم است که می تواند به شما کمک کند.
یک راه حل دیگر این است که کروم را در محیط سندباکس اجرا کنید افزونه ها را نصب کنید و از عملکرد افزونه ها مطمئن شوید. اگر از افزونه Source Viewer استفاده می کنید ممکن است با کلیک روی آیکن Crx در نوار آدرس فروشگاه وب کروم افزونه را به عنوان فایل Zip دانلود کنید و یا در مرورگر آن را مشاهده کنید. شما می توانید از تمام فایل های تصویری و CSS صرف نظر کنید. فایل هایی که باید نگاه دقیق تری به آنها داشته باشید دارای پسوند JS یا JSON است. ابتدا می توانید فایل Manifest.Json را چک کنید و مقدار Content_Security_Policy را بررسی کنید تا لیستی از دامنه ها را مشاهده کنید.
جلوگیری از هک در کروم با حفظ سیاست های حریم خصوصی
گاهی افزونه ها به صفحه Privacy Policy لینک داده شده اند که شما می توانید اطلاعات خوبی را در اینجا بدست آورید. به طور مثال اگر شما صفحه Privacy Policy افزونه Hover Zoom را مشاهده کنید با پیغام های زیر روبرو خواهید شد:
The Company May Use Browser Cookies, Web and DOM Storage Data, Adobe Flash Cookies, Pixels, Beacons, and Other Tracking and Data Collection Technologies, Which May Include an Anonymous Unique Identifier.
این شرکت ممکن است از کوکی مرورگر، اطلاعات ذخیره سازی DOM و وب، کوکی های فلش، پیکسل ها، راهنماها و دیگر تکنولوژی های جمع آوری اطلاعات و ردیابی استفاده کند که ممکن است شامل شناسه منحصر به فرد ناشناس باشد.
These Technologies May Be Used to Collect and Store Information About Your Use of the Services, Including Without Limitation, Web Pages, Features and Content You Have Accessed, Search Queries You Have Run, Referral URL Information, Links You Have Clicked on, and Advertisements You Have Seen.
این تکنولوژی ها ممکن است برای جمع آوری و ذخیره اطلاعات مورد استفاده شما از سرویس ها، صفحات وب، ویژگی ها و محتواهایی که شما به آن دسترسی دارید، پرس و جوهایی که شما اجرا کرده اید، اطلاعات URL که مراجعه کرده اید، لینک هایی که روی آن کلیک کرده اید و تبلیغاتی که تماشا کرده اید استفاده کند.
This Data Is Used for Business Purposes Such as Providing More Relevant Ads and Content, and Market Research
این اطلاعات برای اهداف تجاری مانند ارائه تبلیغات و محتوای مرتبط تر و تحقیق بازاری استفاده می شود. در آخر پیشنهاد می کنیم از ۷ ایستگاه خطرناک و رایج دزدی و کلاهبرداری آنلاین استفاده نکنید.
نظرات و پیشنهادات شما؟
امروز در پست کلاسیک وب روش های بررسی امنیت افزونه کروم (Chrome Extensions) و شناسایی موارد جعلی قبل از دانلود و نصب را به شما معرفی کردیم. با رعایت نکاتی که امروز به شما آموزش دادیم می توانید بهتر افزونه های مخرب را شناسایی کنید و از هک مرورگر کروم خود جلوگیری کنید. نظرات و پیشنهادات خود را در بخش دیدگاه این پست با ما در میان بگذارید.
آخرین دیدگاه ها
تا کنون دیدگاهی ثبت نشده است.