
مشکل امنیتی در تعدادی از افزونه های فایرفاکس و کروم
بهتازگی یک مشکل امنیتی بزرگ در تعدادی از افزونههای فایرفاکس و کروم کشف شده است. این افزونهها اطلاعات شما را سرقت میکنند و باید فورا آنها را حذف کرد. این افزونهها اطلاعت بسیار خصوصی افراد را از مرورگرهای اینترنتی در سطح وسیعی جمعآوری میکنند و آنها را به افراد دیگر میفروشند.
اگر شما از یکی از سیستمهای عامل ویندوز، macOS، کروم یا حتی یکی از توزیعهای لینوکس مثل اوبونتو استفاده میکنید و یکی از افزونههای زیر را در مروگر خود نصب کردهاید، اطلاعات شما در معرض سرقت قرار دارد.
افزونههای فایرفاکسی که نا امن ذکر شده هستند شامل موارد زیر است:
net Helper
FairShare Unlock
SuperZoom
همچنین در مرورگر کروم نیز افزونههای زیر نا امن شناخته شده اند:
FairShare Unlock
SuperZoom
Hover Zoom
SpeakIt!
PanelMeasurement
Branded Surveys
Panel Community Surveys
از میان این افزونهها، دو افزونهی SpeakIt! و FairShare Unlock در سراسر جهان بیش از یک میلیون کاربر دارند.
بهتر است همگامسازی (sync) افزونههای مرورگر خود را نیز بررسی کنید. با فعال بودن این قابلیت، ممکن است افزونههای یکی از مرورگرهای شما از دستگاهی به دستگاههای دیگر نیز منتقل شوند. برای مثال احتمال دارد یکی از افزونههای مشکلدار از کامپیوتر خانگی شما به کامپیوتر محل کار یا تلفن همراهتان انتقال یافته باشد.
این افزونه ها میتواند اطلاعات زیر را به سرقت ببرد:
نام کاربری
رمز عبور
اطلاعات کارت بانکی
جنسیت
علایق شخصی
موقعیت مکانی
اطلاعات مالیاتی
برنامههای سفر
اطلاعات خانواده
اطلاعات ژنتیکی
همچنین اگر شما یکی از افزونههای ذکرشده را در رایانهی محل کار خود نصب کرده باشید، میتواند اطلاعات سازمان شما مثل نامههای شرکت و کد دسترسی فایروال و کلید API را سرقت کرده باشد و ...
بعضی از افزونههایی که به جمعآوری اطلاعات میپردازند، در بخش قوانین و شرایط خود به انجام این کار اشاره میکنند. معمولا در جزئیات قوانین اخطارهایی مبنی بر جمعآوری اطلاعات مرورگر توسط افزونه وجود دارد. بااینحال، اکثر کاربران شرایط و قوانین افزونهها را مطالعه نمیکنند و بهنظر میرسد که اگر از این مسئله آگاهی داشتند، اجازهی دسترسی به اطلاعات خود را نمیدادند.
افزونههای آلوده برای جلوگیری از شناسایی شدن از ترفندهای هوشمندانهای استفاده میکنند. برای مثال، افزونه پس از نصب، ۲۴ ساعت هیچ فعالیت مشکوکی نمیکند و کار خود را پس از آن آغاز میکند؛ یعنی اگر کاربران افزونهی نصب شده را بهدقت مورد بررسی قرار دهند، متوجه هیچ رفتار بدی نمیشوند؛ چراکه سرقت اطلاعات ۲۴ ساعت بعد شروع میشود. بعلاوه اینکه ، حتی اگر کاربری افزونه را حذف کند، دادههای جمعآوری شده توسط افزونه هنوز هم قابلیت فروش به افراد دیگر را دارند.
مهمترین منابع اطلاعاتی افزونهها از طریق لینکهای به اشتراک گذاشته شده جمعآوری میشود. برای مثال، تصور کنید قصد ایجاد یک مکالمهی ویدئویی از طریق اسکایپ داشته باشید و لینک آن را برای فرد مقابل ایمیل کنید تا او روی آن کلیک کند و مکالمه برقرار شود. اگر یکی از افزونههای گفته شده را نصب کرده باشید، آن افزونه میتواند در لینک مداخله کند و هنگامی که آن را در مرورگری باز میکنید، افزونه میتواند اقدامات شما را رهگیری کند. از این طریق افزونه میتواند مکالمهی شما را سرقت کند. چنین اتفاقی میتواند در نرمافزارهای دیگر کنفرانس مثل Zoom نیز رخ دهد.
یکی دیگر از منابع خطرناک اطلاعاتی برای DataSpii سایتهای اطلاعات خانوادگی و اجدادی مثل 23andMe است. زمانیکه 23andMe اطلاعات DNA شما را آماده کند، لینکی را برایتان ارسال میکند تا در صورت تمایل آن را با دوستان و خانواده به اشتراک بگذارید. اگر روی لینک ذکر شده کلیک کنید، افزونه میتواند در آن نیز تداخل ایجاد کند و اطلاعات DNA خانوادگی و حتی دادههای زیستپزشکی مانند ترکیب عضلات شما را بدزدد.
افشای اطلاعات میتواند در کلیهی شرایط مشابه نیز رخ دهد. برای مثال، زمانیکه شما از حساب کاربری iCloud خود بازدید میکنید یا در سایت اپل سفارشی را ثبت میکنید، امکان درز اطلاعات وجود دارد. همچنین اگر برای مدیریت حسابهای خود از خدمات حسابداری آنلاین مثل Quickbooks استفاده میکنید، افزونه میتواند اطلاعات مالی شما را نیز سرقت کند.
از آنجایی که افزونهها میتوانند از طریق لینکهای به اشتراک گذاشته شده از کاربران جاسوسی کنند، یک شخص با مرورگر آلوده ممکن است ناخواسته اطلاعات دوستان و خانواده یا همکاران خود را افشا کند. بههمین دلیل مبارزه با این شیوهی افشای اطلاعات برای شرکتها و افراد بسیار دشوار است. اگر فردی که شما را میشناسد یکی از افزونههای آلوده را نصب کرده باشد و لینکی را با شما بهاشتراک گذاشته یا یک مکالمهی ویدئویی اسکایپ با شما برقرار کند، دادهها و اطلاعات شما نیز در معرض خطر است؛ هرچند شما هرگز افزونهی آلوده را نصب نکردهاید.
حادثهی اخیر بهروشنی نشان میدهد چرا قبل از نصب افزونههای مرورگر باید دقت کافی بهخرج داد؛ زیرا حتی افزونههایی که در ظاهر بیضرر بهنظر میرسند، ممکن است حاوی کدهای مخرب باشند یا اطلاعات شما را سرقت کنند. بههمین دلیل، قبل از نصب هر افزونه از قابل اعتماد بودن به آن اطمینان کنید.