Google Chrome 擴充套件程式安全嗎?安裝前你需要知道什麽
從更改 Chrome 的主題到檢查語法,Chrome 擴充套件程式可以發揮多種作用。它們非常有用,以至於許多人認為它們是每個 Chrome 使用者都應該知道的技巧、竅門和捷徑。您可以使用這些小軟體程式來客製您的瀏覽體驗並改進其功能。因此,如果您想提高工作效率,您可以下載一個擴充套件程式來幫助您組織和自動執行重復性任務。或者,如果您需要改善與同事的溝通,您可以選擇一個擴充套件程式,當您收到新電子信件時向您發送警報,以確保您不會錯過重要資訊。如果您瀏覽過 Chrome 網上套用店,您可能已經註意到幾乎所有東西都有擴充套件程式,甚至有一個擴充套件程式可以讓您玩 3D 跳箱遊戲,幫助您在工作日中打破單調。
盡管所有這些擴充套件程式都很有用,但將它們安裝在 Chrome 上還是引發了一些嚴重的問題,即它們的安全性。畢竟,根據Google的說法,Chrome 網上套用店中有超過 250,000 個擴充套件程式。眾多開發人員和大型軟體公司設計了這些擴充套件程式,Chrome 商店有一個稽核流程,有助於確保它們的安全性。但是,與互聯網上的所有事物一樣,惡意擴充套件程式有時會漏網,因此使用者在向 Chrome 添加擴充套件程式時務必謹慎行事。
Chrome 擴充套件程式有哪些風險?
雖然 Chrome 擴充套件程式通常是安全的,但只要您允許第三方在您的瀏覽器上安裝某些程式,就存在引入安全漏洞的風險。Chrome 網上套用店的優點之一是來自不同開發人員的擴充套件程式數量眾多,但這也是其最大的問題之一。盡管谷歌試圖密切關註其網上套用店中的各種擴充套件程式,但Spin.ai估計谷歌和微軟的所有瀏覽器擴充套件程式中近 51% 都是高風險的。Spin.ai 的評估基於擴充套件程式能夠存取高級別內容,這反過來又允許它們捕獲敏感數據或執行可能有害的 JavaScript 程式碼。
Chrome 擴充套件程式的最大問題是您授予它們存取和修改網站數據的許可權,包括密碼或信用卡數據等敏感資訊。威斯康辛大學的研究人員發現,17,300 個或 12.5% 的 Chrome 擴充套件程式具有從網站提取這些敏感數據的許可權。如果您下載每個 Google Chrome 使用者都應該擁有的基本擴充套件程式之一,並且它表示需要「讀取和更改您存取的網站上的所有數據」的許可權,如果您安裝它,它可能會存取您的個人詳細資訊、登入憑據等。但是,僅僅因為擴充套件程式需要此許可權並不意味著它不懷好意。有時,這很簡單,因為擴充套件程式需要這些資訊來完成其工作。
隱藏的威脅:惡意擴充套件
除了留意你正在考慮的 Chrome 擴充套件程式所需的許可權之外,你還應該密切關註即將下載的擴充套件程式是否合法。不法分子有時會將擴充套件程式偽裝成合法工具,然後使用它們來竊取數據或向你存取的網站註入廣告。你可以想象,這些惡意擴充套件程式可以透過多種方式危害你的安全,包括收集你的個人資訊、鍵盤記錄或執行中間人或其他型別的網路攻擊。隨著這些惡意擴充套件程式變得越來越復雜,它們變得越來越難以檢測。
您還應該留意那些看起來像流行擴充套件但包含惡意程式碼的複制擴充套件。由於它們看起來和真正的擴充套件一模一樣,因此這些擴充套件可能特別難以檢測。雖然擁有龐大的使用者群和高評分通常是擴充套件合法的良好跡象,但情況並非總是如此。2023 年,網路安全研究員 Wladimir Palant 發現擴充套件「PDF Toolbox」正在將來自可疑網站的任意程式碼載入到使用者檢視的每個網站上。在 Palant 研究之後,谷歌刪除了有問題的擴充套件,另一組專家發表了一篇關於該主題的論文。然而,「PDF Toolbox」發生的事情是對下載 Chrome 擴充套件程式可能存在的陷阱的重要警告。
如何在安裝之前審查 Chrome 擴充套件程式
讀完本文後,您可能會覺得安裝 Chrome 擴充套件程式不會帶來任何好處;但事實並非總是如此。雖然您應該在安裝擴充套件程式之前做好功課並保持一定的懷疑態度,但許多擴充套件程式都是完全可以安全使用的。為了在安裝擴充套件程式之前保證安全,您應該驗證開發人員的可信度。您可以透過檢視產品說明並尋找可能共享您的數據或跟蹤瀏覽活動的內容來做到這一點。您還應該檢視他們的網站,切勿安裝來自未知開發人員的擴充套件程式。
雖然閱讀使用者評論並不是避免惡意擴充套件的萬無一失的方法,但正如我們從上面的「PDF Toolbox」範例中了解到的那樣,它們可以成為在安裝擴充套件之前審查擴充套件的有用工具。如果使用者對擴充套件有負面體驗,他們通常會寫評論來警告其他人。如果您註意到您正在考慮下載的擴充套件有幾條負面評論或提到它以不適當的方式使用數據,最好不要下載它。相反,您應該搜尋具有更好評分的類似擴充套件。
您還應密切關註套用請求的許可權。如果這些許可權似乎過多或與套用功能無關,則可能是濫用的跡象。例如,如果用於管理書簽的擴充套件程式請求存取您的所有瀏覽數據,則這是一個危險訊號。
安全使用擴充套件程式的最佳實踐
如果您決定使用 Chrome 擴充套件程式,那麽為確保自身安全,您可以采取的最重要的步驟之一就是僅從受信任的來源(例如 Chrome 網上套用店)安裝擴充套件程式。這樣做可確保您選擇的擴充套件程式至少經過了一些安全檢查,而從第三方網站安裝擴充套件程式則無法保證這一點。您不應該只是安裝 Chrome 擴充套件程式然後就忘了它們。相反,您應該不時檢查擴充套件程式,以確保仍然需要它們,檢查它們的許可權並檢查是否存在可疑行為。您可以透過 Chrome 的擴充套件程式選單執行此操作,在其中尋找任何不熟悉或不必要的擴充套件程式。當您刪除不使用的擴充套件程式時,您可以減少瀏覽器的攻擊面,這有助於確保您在瀏覽網頁時的安全。
如果您在檢視了開發者及其網站後仍對 Chrome 擴充套件程式存有疑問,則可以使用CRXcavator等安全工具來收集更多資訊,以確定它是否可能構成安全威脅。根據您使用的擴充套件程式數量,您可能會遇到看似有害的擴充套件程式。發生這種情況時,您應該向 Google 報告。這樣做可以讓 Google 調查有問題的擴充套件程式,並在必要時將其從 Chrome 網上套用店中移除。
