Njia Muhimu za Kuchukua
- Viendelezi vingi kwenye Duka la Chrome kwenye Wavuti vinahitaji ruhusa hatari ambazo zinaweza kutumika vibaya kwa madhumuni hasidi.
- Vivinjari vyote vya wavuti vinajaribu kutatua tatizo la viendelezi vilivyopotoka.
- Manifest V3 ya Google ni suluhisho mojawapo linaloshughulikia baadhi ya masuala lakini haitumiki sana katika ruhusa zinazopatikana za viendelezi.
Je, unakumbuka kiendelezi kile cha kivinjari cha kukagua tahajia ambacho kiliomba ruhusa ya kusoma na kuchanganua kila kitu unachoandika? Wataalamu wa usalama wa mtandao wanaonya kuwa kuna uwezekano mkubwa kwamba baadhi ya viendelezi vinatumia vibaya idhini yako kuiba manenosiri unayoingiza kwenye kivinjari.
Ili kuwasaidia watumiaji kufahamu hatari za viendelezi vya wavuti, kampuni ya usalama ya kidijitali ya Talon imechanganua Duka la Chrome kwenye Wavuti ili kuripoti kuwa makumi ya maelfu ya viendelezi vinaweza kufikia ruhusa zinazotia wasiwasi, kama vile uwezo wa kubadilisha data kwenye tovuti zote zinazotembelewa., pakua faili, fikia shughuli ya upakuaji, na zaidi.
“Viendelezi vingi maarufu huwaweka watumiaji hatarini,” mwanzilishi mwenza na CTO wa Talon Cyber Security Ohad Bobrov aliieleza Lifewire kupitia barua pepe. “[Hata] viendelezi visivyofaa vinaweza kuwa na udhaifu katika misimbo yao, au mkondo wa ugavi, na vinaweza kuathiriwa na unyakuzi na watendaji hasidi.”
Viendelezi Vibaya
Talon inabisha kuwa viendelezi hutoa thamani kubwa kwa watumiaji wake, na kuleta wingi wa vipengele muhimu kwenye vivinjari vya wavuti kama vile kuzuia matangazo, kukagua tahajia, kudhibiti nenosiri na zaidi. Hata hivyo, ili kuleta utendaji kazi huu, viendelezi vinahitaji ruhusa pana ili kurekebisha kivinjari, tabia yake na tovuti zilizotembelewa.
“Kwa kawaida, kiwango hiki cha udhibiti na ufikiaji kutoka kwa watendaji wengine kinaweza kuleta tishio kubwa la usalama na faragha kwa watumiaji,” alieleza Talon.
Kampuni inaongeza kuwa licha ya mchakato wa ukaguzi wa Google, viendelezi vingi hasidi vinaweza kupitia mapungufu na hatimaye kuathiri vibaya mamilioni ya watumiaji. Uchambuzi wake umebaini kuwa zaidi ya 60% ya viendelezi vyote kwenye Duka la Chrome kwenye Wavuti vina ruhusa ya kusoma au kubadilisha data na shughuli za mtumiaji.
Kwa mfano, Talon anasema vikagua tahajia na sarufi huomba ruhusa ya kuingiza hati zinazotoka katika muktadha wa ukurasa wa wavuti ili kuchanganua maandishi ya mtumiaji. Hufanya hivi kwa kawaida kwa kukagua sehemu za ingizo au kuweka vibonye vya mtumiaji kwa njia nyinginezo. Kampuni inasema kuwa hii inaruhusu viendelezi kukusanya na kuchuja maelezo yoyote kwenye ukurasa wa wavuti, ikiwa ni pamoja na manenosiri na data nyingine nyeti.
Kisha kuna kuzuia matangazo, ambayo ni baadhi ya viendelezi bora vya Duka la Chrome kwenye Wavuti. Utendaji huu unahusisha kuondoa vipengee kwenye ukurasa na kuhitaji ruhusa sawa na vikagua tahajia.
Haijulikani ni data gani ilichujwa, lakini huenda iliweza kuiba chochote kutoka kwa ukurasa wowote, ikiwa ni pamoja na manenosiri.
Vile vile, ruhusa zinazotolewa za kushiriki skrini, na viendelezi vya mkutano wa video kufanya kazi inayokusudiwa, vinaweza pia kutumiwa vibaya kunasa skrini na sauti ya mtumiaji.
"Udhaifu mbili zilipatikana katika uBlock Origin katika miezi michache iliyopita, ambayo iliruhusu wavamizi kutumia ruhusa ya kiendelezi kusoma na kubadilisha data kwenye tovuti zote na kuiba taarifa nyeti za mtumiaji," Bobrov alituambia.
"Vizuizi vya matangazo kama vile uBlock Origin ni maarufu sana na kwa kawaida wana uwezo wa kufikia kila ukurasa anaotembelea mtumiaji. Nyuma ya pazia, huendeshwa na orodha za vichungi zinazotolewa na jumuiya - viteuzi vya CSS ambavyo huamuru vipengele vya kuzuia. Haya orodha haziaminiki kabisa, kwa hivyo zimebanwa kuzuia sheria mbovu dhidi ya kuiba data ya mtumiaji," aliandika mtafiti wa usalama Gareth Heyes alipokuwa akionyesha kutumia udhaifu katika kiendelezi kuiba manenosiri.
Bobrov pia alishiriki kwamba mnamo 2019 kiendelezi maarufu cha The Great Suspender, ambacho kilikuwa na watumiaji zaidi ya milioni mbili, kilinunuliwa na mwigizaji hasidi, ambaye alitumia vibaya ruhusa zake za kuingiza hati ili kutekeleza msimbo ambao haujakaguliwa, unaopangishwa kwa mbali. katika kurasa za wavuti.
"Haijulikani ni data gani iliyochujwa," alisema, "lakini inaweza kuwa imeiba chochote kutoka kwa ukurasa wowote, ikiwa ni pamoja na manenosiri."
Hakuna Suluhisho la Kweli
Bobrov anasema kuwa Chrome na takriban vivinjari vingine vyote vikuu vinafanya kazi ili kudhibiti hatari ya usalama inayoletwa na viendelezi, sio tu kwa kuboresha mchakato wao wa ukaguzi lakini pia kwa kupunguza baadhi ya uwezo wa viendelezi.
Hatua kama hiyo ya hivi majuzi ambayo Bobrov anataja ni Manifest V3 ya Google. Anasema kwamba kwa mtumiaji wa kawaida, tofauti inayoonekana zaidi Dinifest V3 ingeleta upanuzi ni marufuku kamili ya msimbo unaopangishwa kwa mbali na mabadiliko katika njia ya viendelezi kurekebisha maombi ya wavuti. Hata hivyo, anaongeza kuwa upande wa chini, Manifest V3 imekosolewa kwa kukwamisha vizuizi vya matangazo.
"Mitindo muhimu zaidi ni kuziba mapengo ya usalama, kuongeza mwonekano na udhibiti wa mtumiaji wa mwisho (k.m., tovuti ambazo huruhusu viendelezi kufanya kazi), na kupiga marufuku msimbo usioweza kukaguliwa kutoka kwa viendelezi," Bobrov alisema. "Baadhi ya mabadiliko haya yamejumuishwa katika Manifest V3 ya Google. Hata hivyo, hakuna mabadiliko haya yanayobadilisha kwa kiasi kikubwa ruhusa zinazopatikana kwa viendelezi."
