在Firefox和Chrome的許多瀏覽器擴展中都發現了一個主要的安全問題。這些瀏覽器擴展正在獲取您的數據,您應該立即刪除它們。
這些擴展正在從人們的網絡瀏覽器收集大量非常私人的數據,並將這些數據**給第三方。這次洩漏非常嚴重,被稱為“災難性的”,對公司和個人都有影響。
受此漏洞影響的擴展可用於Chrome和Firefox,以及基於Chrome的瀏覽器(如Opera和Yandex Browser)。不管你用什麼操作系統。
無論你是在Windows、macOS、Chrome操作系統上,還是像Ubuntu這樣的Linux發行版上。如果您的瀏覽器中安裝了這些擴展,它們就是在竊取您的數據。
受影響的Firefox擴展如下:
受影響的Chrome擴展包括兩個相同的擴展,以及其他一些擴展:
這兩個都說!FairShare Unlock在全球擁有100多萬用戶。因此,有很多人正處於這種安全漏洞的危險之中。
值得檢查一下你的瀏覽器是否也可以同步你的擴展。例如,如果您在Google Chrome上啟用了同步,那麼您的擴展可能會在您使用的所有計算機之間鏡像。這意味著感染可以從家庭電腦傳播到工作電腦。
易受此問題影響的數據量和種類之多令人恐懼。如果您在瀏覽器中安裝了這些擴展,它們可能會收集有關您的信息,例如:
如果在工作場所的計算機上安裝擴展,他們還可以收集有關公司的信息,包括公司備忘錄、防火牆訪問代碼、API密鑰等。
這些信息由瀏覽器擴展插件收集。然後由一家專門從事數據分析的公司**。
一些收集數據的擴展確實在條款和條件中提到了它們正在做什麼。在精細打印中,有時會出現擴展將收集瀏覽數據的警告。
但是,大多數用戶不閱讀條款和條件。而且如果**知道的話,他們很可能不會同意交出這麼多的數據。
發現數據洩漏的安全研究員samjadali將其命名為“DataSpii”。甚至像身份驗證或加密這樣的安全措施也不能防止這個問題。它通過使用瀏覽器應用程序接口功能(什麼是api?)它們確實有合法用途。但在這種情況下,API函數被惡意使用。
為了避免被發現,這些擴展使用了聰明的模糊技術,比如在安裝後24小時等待數據虹吸開始。這意味著,即使用戶在安裝擴展後仔細檢查它,他們也不會發現惡意行為,因為它要到一天後才會開始。
此外,即使用戶卸載了一個擴展,他們的數據仍將由該擴展持有,並可以**給第三方。
這些擴展收集的信息的主要來源是通過共享鏈接。例如,假設您正在設置Skype會議。你可以通過電子郵件向你想會見的人發送一個鏈接。然後他們點擊鏈接加入你的會議。
如果安裝了其中一個瀏覽器擴展,它可以攔截該鏈接。在web瀏覽器中打開鏈接時,擴展可以查看您的操作。這樣,擴展甚至可以偷聽你的會議。同樣的事情也可能發生在其他會議軟件,如Zoom。
數據洩露的另一個可怕的信息來源是像23andMe這樣的祖先網站。當你收到一份關於你DNA的23andMe報告時,公司會給你發送一個鏈接,讓你與朋友和家人分享你的結果。如果你點擊這個鏈接,那麼瀏覽器擴展也可以截取這個頁面,收集你的家庭DNA信息,甚至你的肌肉組成等生物醫學數據。
類似的數據洩露也可能發生在其他各種情況下,比如你訪問蘋果iCloud賬戶時,你向蘋果下訂單時蘋果公司,或者當您使用網絡界面觀看監控視頻時。如果你使用像Quickbooks這樣的在線會計服務,那麼擴展也可以收集你的稅收數據。
由於這些擴展可以通過使用共享鏈接來監視用戶,一個瀏覽器受損的人可能會無意中損害他們的朋友、家人和同事。
這使得公司和個人很難防範這種數據洩漏。如果您認識的人安裝了其中一個擴展,並且他們與您共享一個鏈接或Skype呼叫,則即使您從未親自安裝過擴展,您的數據也可能受到損害。
正如賈達利在關於DataSpii的報告中所說:
"Even the most resp***ible individuals proved vulnerable to DataSpii; with vast budgets and myriad experts on hand, even the largest cybersecurity corporati*** proved vulnerable to DataSpii. Our data is only as secure as those with whom we entrust it."
此事件說明了為什麼在安裝瀏覽器擴展時需要小心。因為即使是看起來無害的擴展也可能隱藏惡意代碼或竊取數據。
因此,在安裝瀏覽器擴展之前,一定要研究它的可靠性。即使是快速的谷歌搜索也會有所幫助。下面是一些流行的Firefox擴展,您現在應該刪除它們,以幫助您入門。
... Windows優惠券印表機的目的是提供從優惠券網. 但是,由於該軟體通常與其他程式捆綁在一起,因此您可能不想首先安裝它。 ...
... 假設你已經連結了你的Twitter個人資料。現在,您可以轉到任何使用者的Twitter配置檔案並單擊Keybase chat按鈕開始加密的聊天。您需要讓他們知道您使用Keybase向他們傳送了一條訊息,並且訊息將在那裡等待他們設...
...使用回飛棒暫停收到的電子郵件,請單擊“暫停”按鈕,您現在應該可以在左側邊欄中的“撰寫”按鈕上方看到該按鈕。您必須授予Boomerang訪問您的帳戶的許可權,然後才能訪問設定。 ...
... 要在Edge中管理瀏覽歷史,請按CTRL+SHIFT+DEL。正如您現在應該注意到的,這是所有主流瀏覽器都使用的標準鍵盤快捷鍵。在Edge中,它啟動了Clear browsing data側邊欄。 ...
... 由於您的資料有如此多的潛在風險,所以應該時不時地進行審計。它讓你保持在洩漏的頂部,採取補救措施來修復它。 ...
... 現在,讓我們繼續討論Trello的瀏覽器擴充套件。我們將首先介紹Chrome擴充套件,然後介紹跨瀏覽器的替代方案。 ...
...單擊“無法掃描”選項以檢視您的金鑰。 您現在應該看到一個特定於您的Google帳戶的金鑰。請注意此金鑰,因為在PC上配置Authenticator應用程式時需要它。 在瀏覽器中保持此選項卡開啟。 ...
...個理論問題。以前發生過很多次。即使你的所有擴充套件現在都很好,我們早就討論過危險:一個安全的擴充套件可能一夜之間轉化成惡意軟體。開發人員可能會將擴充套件**給另一家公司,該公司可能會新增跟蹤程式碼、鍵盤...
...說過:瀏覽器擴充套件是隱私的噩夢。你應該檢查那些你現在已經安裝,只保留那些你絕對依賴。即便如此,也許谷歌搜尋一下他們的名字。 嚴肅地說:解除安裝時尚。現在。本週我們將更新我們的舊文章並刪除所有到擴充套...