近期發現的流行 Chrome 擴充套件程式中的惡意行為,在技術社群引發了關於瀏覽器擴充套件安全性的激烈討論。雖然擴充套件程式能夠提升我們的瀏覽體驗,但它們已經成為即使謹慎的使用者也無法完全防範的重要安全隱患。
Chrome 擴充套件程式安全現狀
社群對最近 Karma Shopping Ltd. 事件的反應突顯了 Chrome 擴充套件生態系統的幾個關鍵問題:
自動更新:雙刃劍
最令人擔憂的一個方面是,擴充套件程式可能在一夜之間透過自動更新變成惡意程式,可能在使用者不知情的情況下影響數百萬使用者。儘管一些使用者建議使用防火牆來阻止更新或為不同的擴充套件建立單獨的瀏覽器配置檔案,但這些變通方法對普通使用者來說遠非理想選擇。
有限的監管和執行力度
儘管 Google 在 Chrome 安全性方面投入巨大,但擴充套件商店的監管仍然存在問題。社群指出,考慮到只有約2,000個流行擴充套件程式(擁有10萬以上使用者),這本不應該是一個難以解決的 Google 規模問題。然而,即使是明顯違反商店政策的行為也未被查處:
- 存在反對程式碼混淆的規則,但很少得到執行
- 隱私政策可在收購後被更改或刪除
- 惡意功能可以隱藏在看似合法的程式碼中
安全措施和解決方案
技術精通的使用者已經開發了幾種降低風險的策略:
- 配置檔案分離 :為敏感活動(如網上銀行)使用專用的瀏覽器配置檔案,不安裝任何擴充套件程式
- 最小化擴充套件使用 :僅安裝密碼管理器和內容攔截器等必要擴充套件
- 原始碼驗證 :僅從經驗證的 GitHub 源安裝未打包的擴充套件程式
- Manifest V3 優勢 :雖然不是完整的解決方案,但較新的 Manifest V3 擴充套件通常需要明確的使用者啟用才能訪問大多數頁面
資料收集業務
惡意擴充套件背後的動機通常與資料收集和變現有關。公司購買擴充套件程式是為了:
- 收集點選流資料進行市場分析
- 生成使用者行為的企業報告
- 實施聯盟營銷計劃
- 向第三方出售瀏覽檔案
展望未來
雖然 Google Chrome 網上應用店存在這些安全問題,但 Firefox 使用者指出,他們的瀏覽器允許對擴充套件更新進行更多控制。然而,根本問題仍然存在:當前的擴充套件生態系統過度依賴使用者信任,缺乏健全的安全措施。
社群共識表明,僅靠技術解決方案無法解決這個問題。需要的是更嚴格的政策執行和對違規行為的即時處理,包括將違規擴充套件和釋出者完全從商店中刪除。
目前,建議使用者定期審查已安裝的擴充套件程式,警惕所有權變更,並考慮使用單獨的瀏覽器配置檔案來應對不同的安全場景。