Naršyklės plėtinių spąstai: kaip atpažinti pavojingus įskiepius ir apsaugoti savo paskyras

Šiuolaikinė naršyklė seniai nebėra tik langas į internetą. Ją papildo dešimtys plėtinių, kurie žada sutaupyti laiką, blokuoti reklamą, tvarkyti užrašus ar padėti dirbti su socialiniais tinklais. Tačiau kartu su patogumais atsiranda ir rizika: dalis įskiepių renka perteklinius duomenis, seka naršymo įpročius arba tampa patogia priemone sukčiams.
Pastaraisiais metais daugėjo atvejų, kai naršyklės plėtiniai pavogė prisijungimo duomenis, įterpė papildomą reklamą ar net bandė pasisavinti mokėjimo kortelių informaciją. Tokios grėsmės aktualios ir Lietuvoje, nes populiariausi naršyklių katalogai yra globalūs, o įtartini įskiepiai dažnai atrodo labai panašūs į teisėtus produktus.
Kas yra naršyklės plėtiniai ir kodėl jie tokie patrauklūs
Naršyklės plėtiniai (įskiepiai) yra nedidelės programos, kurios įdiegiamos į „Google Chrome“, „Microsoft Edge“, „Mozilla Firefox“ ar kitas naršykles. Jie gali pridėti naujų funkcijų, integruoti debesijos paslaugas, automatizuoti veiksmus ar pakeisti tinklalapių išvaizdą.
Dalis plėtinių iš tiesų palengvina kasdienybę: leidžia greitai išsaugoti straipsnius, versti tekstus, pildyti formas ar sinchronizuoti užduočių sąrašus tarp įrenginių. Dėl to vartotojai dažnai diegia juos nesusimąstydami, kiek prieigos prie duomenų tokiam įskiepiui suteikia.
Kaip iš tikrųjų veikia plėtiniai ir kokių teisių jiems reikia
Plėtiniai paprastai veikia per naršyklės suteikiamus programavimo sąsajos (API) leidimus. Tam, kad jie atliktų savo užduotis, dažnai reikia prieigos prie aplankomų tinklalapių turinio, naršymo istorijos, kartais ir failų, saugomų debesijos talpyklose ar kompiuterio diske.
Problema prasideda tada, kai prašomi leidimai yra kur kas platesni nei realiai reikalingi. Pavyzdžiui, paprastas spalvų parinkimo įrankis neturėtų reikalauti teisės skaityti viso naršyklėje rodomo turinio ar pasiekti naršymo istoriją. Toks neatitikimas yra vienas iš pirmųjų pavojaus signalų.
Pavojingi scenarijai: nuo papildomos reklamos iki paskyrų vagystės
Dažniausi pavojingi plėtinių elgesio tipai yra keli. Pirmiausia, įskiepis gali įterpti papildomą reklamą į lankomus tinklalapius, taip generuodamas pajamas jų kūrėjams. Iš pradžių tai gali atrodyti tik kaip erzinantis fonas, tačiau kartu dažnai įjungiamas ir agresyvus sekimas.
Kitas scenarijus, daug rimtesnis, kai plėtinys renka prisijungimo duomenis ar formose pildomą informaciją. Tokiu atveju kyla reali grėsmė el. pašto, socialinių tinklų, bankininkystės ar darbo paskyrų saugumui. Kartais tokie įskiepiai neatrodo įtartini, nes iš pradžių veikia korektiškai ir tik vėliau atnaujinimu gauna kenksmingų funkcijų.
Kaip atpažinti įtartiną plėtinį dar prieš diegimą

Pirmas žingsnis yra kritiškai įvertinti plėtinio puslapį oficialiame kataloge. Reikėtų atkreipti dėmesį į kūrėjo pavadinimą, aprašymą ir atnaujinimų istoriją. Jei nurodytas kūrėjas labai primena žinomą bendrovę, bet šiek tiek skiriasi rašyba, tai gali būti bandymas apsimesti kitu produktu.
Verta perskaityti ir realius vartotojų atsiliepimus, tačiau juos reikia vertinti atsargiai. Vienodas frazes kartojantys komentarai ar įtartinai vien teigiami atsiliepimai gali reikšti, kad jie yra dirbtinai sukurti. Naudinga paleisti filtrą ir pažiūrėti naujausius komentarus, juose dažnai pirmiausia atsispindi pasikeitęs plėtinio elgesys.
Leidimai: svarbiausias signalas, kurį dažnai ignoruojame
Prieš diegiant įskiepį verta labai atidžiai perskaityti, kokių leidimų jis prašo. Jei rašoma, kad plėtinys galės „skaityti ir keisti visus duomenis lankomuose tinklalapiuose“, tai reiškia, kad techniškai jis gali matyti beveik viską, ką įvedate ir matote naršyklėje.
Naudinga sau užduoti paprastą klausimą: ar tokio tipo funkcijai iš tiesų reikia tokios plačios prieigos. Pavyzdžiui, paprastam laikmačiui naršyklėje nereikia žinoti, kokiuose tinklalapiuose lankotės, o ekrano fono keitikliui nėra būtina skaityti formų turinio.
Paprasti žingsniai, kaip susitvarkyti jau turimus įskiepius
Jei naršyklėje plėtinių prisikaupė per kelerius metus, verta atlikti generalinę reviziją. Atsidarykite naršyklės plėtinių sąrašą ir praeikite jį nuo viršaus iki apačios. Viską, kuo nesinaudojate bent kelis mėnesius, geriausia pašalinti, o ne tik išjungti.
Tuos įskiepius, kuriuos būtina pasilikti, verta peržiūrėti atskirai: patikrinti, kada jie paskutinį kartą atnaujinti, ar kūrėjas turi oficialų tinklalapį, ar aprašymas ir funkcijos dar sutampa. Jei plėtinys staiga pradėjo rodyti kitokias reklamas ar reikalauti papildomų leidimų, tai rimta priežastis jo atsisakyti.
Skirtingos naršyklės, skirtingos apsaugos galimybės

Populiarios naršyklės pastaruoju metu stipriai griežtina plėtinių patikrą. Jos taiko automatinius virusų skenerius, reikalauja papildomų paaiškinimų, jei įskiepis prašo plataus spektro leidimų, ir gali pašalinti pažeidėjus iš katalogo. Tačiau ši apsauga nėra absoliuti, dalis kenksmingų plėtinių vis tiek praslysta.
Vartotojo rankose taip pat yra kelios papildomos priemonės. Pavyzdžiui, galima susikurti atskirą naršyklės profilį tik darbui su jautriomis paskyromis ir jame nenaudoti jokių nereikalingų įskiepių. Tai sumažina riziką, kad pavojingas plėtinys perims darbo el. paštą ar prieigą prie vidinių sistemų.
Įmonėms ir organizacijoms: kodėl verta valdyti plėtinių politiką
Darbiniuose kompiuteriuose plėtiniai gali tapti silpnąja grandimi, net jei visa kita infrastruktūra sutvarkyta. Vienas darbuotojas, įsidiegęs „patogų“ PDF tvarkytuvą ar kainų palyginimo įrankį, gali nesąmoningai suteikti priėjimą prie įmonės vidinių sistemų ar klientų duomenų.
Dėl to verta nustatyti aiškias taisykles: kokius plėtinių tipus leidžiama naudoti, kuriuose naršyklės profiliuose jie gali būti diegiami ir kas turi teisę tą daryti. Didesnėse organizacijose praktiška sudaryti patvirtintų įskiepių sąrašą ir periodiškai jį peržiūrėti, o visus kitus įskiepius automatiškai blokuoti.
Ką daryti, jei įtariate, kad plėtinys kenkia
Jei naršyklė pradėjo elgtis neįprastai, atsirado keistų reklamų, nukreipimų į svetimus tinklalapius ar klaidų prisijungiant prie paskyrų, verta įtarti ir plėtinius. Pirmas žingsnis yra išjungti visus įskiepius, o tada įjungti juos po vieną ir stebėti, kada problema sugrįžta.
Nustačius įtariamą plėtinį, jį reikėtų ne tik pašalinti, bet ir pakeisti svarbiausių paskyrų slaptažodžius, įjungti papildomus saugumo metodus, pavyzdžiui, tapatybės patvirtinimą dviem žingsniais. Taip pat naudinga trumpai peržiūrėti naršyklės istoriją ir įvertinti, ar nebuvo apsilankyta netikėtose prisijungimo formose.
Saugus naudojimas: keli principai kasdienai
Naršyklės plėtinių visiškai atsisakyti tikriausiai nepavyks ir nebūtina. Jie gali išlikti naudingu įrankiu, jei laikomasi keleto paprastų taisyklių. Pirma, diegti tik tuos įskiepius, kurių tikrai reikia ir kurių funkcija aiški bei suprantama.
Antra, rinktis gerai žinomų kūrėjų produktus, vengti neoficialių originalių įskiepių kopijų ir nepamiršti periodiškos revizijos. Trečia, atidžiai skaityti prašomus leidimus ir reaguoti į netikėtus elgesio pokyčius. Toks požiūris padeda išnaudoti technologijų suteikiamą patogumą, neprarandant kontrolės ir saugumo.









0 komentarai