如果你是一位有一定年龄的电脑用户,你可能还记得当安全重点放在应用程序上的时候。你下载和安装的东西是最大的危险。但即使许多服务已经转移到线上,这个建议仍然适用——这也包括浏览器扩展。
不幸的是,并非每个人都了解在扩展Chrome、Edge、Firefox和其他浏览器的功能时需要小心。在过去的六个月里,有不止一个人告诉我他们想要在Chrome中实现某个功能。他们打算通过安装一个在Chrome Web Store中找到的第一个扩展来实现,而对该附加组件一无所知。
一个人认为这些扩展直接来自谷歌(Google)、微软(Microsoft)和Mozilla。另一个人假设所有扩展都经过审查且值得信赖。所有人都惊讶地发现存在可疑的浏览器附加组件,更不用说它们可以被编程来监视毫无戒心的用户了。虽然浏览器开发者最终可以撤下恶意扩展,但发现速度并不总是很快或可预测。
并非Chrome Web Store中的每个扩展都是安全的
但它们为什么会有危险呢?这与它们如何访问你电脑的系统资源有关。为了深入了解,我联系了迈克·丹塞格里奥(Mike Danseglio),一位道德黑客和网络安全讲师,征求他的看法。他是那种会去参加Def Con找乐子的人。(那是拉斯维加斯著名的年度黑客和安全会议。)而且他比几乎任何人都更了解恶意行为者在Windows上能搞出什么花样——他曾为微软工作,负责操作系统的安全功能。
他的看法是:
“浏览器扩展是奇怪的小家伙。它们实际上是存在于浏览器中的小应用程序——它们有自己的应用程序接口、微型存储分配、微型注册表等等。它们通常被浏览器本身作为屏障隔离,无法直接访问原始内存、文件系统或其他应用程序。曾有过漏洞让扩展‘逃离’其浏览器强加的边界,并访问其他东西,比如文件系统或原始内存【以窃取数据】。”
为了进一步解释:当一切正常工作时,浏览器会保持所有内容自包含。(事实上,传统的现代浏览器甚至将单个标签页相互隔离——一个标签页中发生的事情不应被另一个标签页看到。)浏览器内发生的任何事情都不应能够访问你电脑更广泛的系统资源或其他已安装的应用程序。如果它成功做到了,恶意行为者就可以利用这个机会监视你计算机上的其他活动,比如捕获你的密码、翻查你的文件等。
因此,丹塞格里奥给了我这样的建议:
“最终,我是这样看待的:浏览器扩展就是软件,和其他任何软件一样。我假设所有浏览器扩展都能与其他应用程序通信、访问内存,并做任何独立应用程序能做的事情。因此,我在安装和使用浏览器扩展时,会像对待任何其他应用程序一样谨慎。”
浏览器扩展不应该有对系统原始内存中数据的一般访问权限。(那是你的电脑开机时内存所追踪的内容。)但有时,黑客会找到绕过这种限制的隐蔽方法。
如果这有助于你理解——把Windows、浏览器和浏览器扩展想象成一套套娃。你的浏览器是Windows中的一个应用程序;你的扩展则像浏览器中的应用程序。这些附加组件本不应逃离它们的限制,但有时它们可以,因为浏览器的代码意外地允许了这一点。
这就是为什么你在网上看到那么多文章,包括我的一些文章,都在推荐安装浏览器扩展时要谨慎。这些建议通常涵盖相同的要点:你应该只从官方的扩展或附加组件“商店”(例如Chrome Web Store)安装,查看来自可信出版物的评价(而不仅仅是用户评价),查看用户数量等等。
但我实际上更进一步,将我的安装数量保持在绝对的最低限度。(我写这篇文章所用的浏览器的扩展正好只有两个。)因为即使你是从Chrome Web Store或类似渠道下载的,即使附加组件有数十万用户,即使扩展的功能如广告所述,你仍然可能沦为恶意软件的牺牲品。更可恶的是,合法的附加组件可能在一夜之间变得邪恶——被黑客接管并更新了肮脏的代码。
确保一个扩展不会搞砸你或你电脑的唯一方法就是根本不要安装它。你不必像我这样极简,但请仔细考虑你的扩展阵容。并且定期卸载你不再使用的任何东西。
