揭秘安卓手机的五大未来功能,你期待吗?

发表时间: 2024-06-25 00:02

Google Chrome 扩展程序安全吗?安装前你需要知道什么

从更改 Chrome 的主题到检查语法,Chrome 扩展程序可以发挥多种作用。它们非常有用,以至于许多人认为它们是每个 Chrome 用户都应该知道的技巧、窍门和快捷方式。您可以使用这些小软件程序来定制您的浏览体验并改进其功能。因此,如果您想提高工作效率,您可以下载一个扩展程序来帮助您组织和自动执行重复性任务。或者,如果您需要改善与同事的沟通,您可以选择一个扩展程序,当您收到新电子邮件时向您发送警报,以确保您不会错过重要信息。如果您浏览过 Chrome 网上应用店,您可能已经注意到几乎所有东西都有扩展程序,甚至有一个扩展程序可以让您玩 3D 跳箱游戏,帮助您在工作日中打破单调。

尽管所有这些扩展程序都很有用,但将它们安装在 Chrome 上还是引发了一些严重的问题,即它们的安全性。毕竟,根据Google的说法,Chrome 网上应用店中有超过 250,000 个扩展程序。众多开发人员和大型软件公司设计了这些扩展程序,Chrome 商店有一个审核流程,有助于确保它们的安全性。但是,与互联网上的所有事物一样,恶意扩展程序有时会漏网,因此用户在向 Chrome 添加扩展程序时务必谨慎行事。

Chrome 扩展程序有哪些风险?

虽然 Chrome 扩展程序通常是安全的,但只要您允许第三方在您的浏览器上安装某些程序,就存在引入安全漏洞的风险。Chrome 网上应用店的优点之一是来自不同开发人员的扩展程序数量众多,但这也是其最大的问题之一。尽管谷歌试图密切关注其网上应用店中的各种扩展程序,但Spin.ai估计谷歌和微软的所有浏览器扩展程序中近 51% 都是高风险的。Spin.ai 的评估基于扩展程序能够访问高级别内容,这反过来又允许它们捕获敏感数据或执行可能有害的 JavaScript 代码。

Chrome 扩展程序的最大问题是您授予它们访问和修改网站数据的权限,包括密码或信用卡数据等敏感信息。威斯康星大学的研究人员发现,17,300 个或 12.5% 的 Chrome 扩展程序具有从网站提取这些敏感数据的权限。如果您下载每个 Google Chrome 用户都应该拥有的基本扩展程序之一,并且它表示需要“读取和更改您访问的网站上的所有数据”的权限,如果您安装它,它可能会访问您的个人详细信息、登录凭据等。但是,仅仅因为扩展程序需要此权限并不意味着它不怀好意。有时,这很简单,因为扩展程序需要这些信息来完成其工作。

隐藏的威胁:恶意扩展

除了留意你正在考虑的 Chrome 扩展程序所需的权限之外,你还应该密切关注即将下载的扩展程序是否合法。不法分子有时会将扩展程序伪装成合法工具,然后使用它们来窃取数据或向你访问的网站注入广告。你可以想象,这些恶意扩展程序可以通过多种方式危害你的安全,包括收集你的个人信息、键盘记录或执行中间人或其他类型的网络攻击。随着这些恶意扩展程序变得越来越复杂,它们变得越来越难以检测。

您还应该留意那些看起来像流行扩展但包含恶意代码的克隆扩展。由于它们看起来和真正的扩展一模一样,因此这些扩展可能特别难以检测。虽然拥有庞大的用户群和高评分通常是扩展合法的良好迹象,但情况并非总是如此。2023 年,网络安全研究员 Wladimir Palant 发现扩展“PDF Toolbox”正在将来自可疑网站的任意代码加载到用户查看的每个网站上。在 Palant 研究之后,谷歌删除了有问题的扩展,另一组专家发表了一篇关于该主题的论文。然而,“PDF Toolbox”发生的事情是对下载 Chrome 扩展程序可能存在的陷阱的重要警告。

如何在安装之前审查 Chrome 扩展程序

读完本文后,您可能会觉得安装 Chrome 扩展程序不会带来任何好处;但事实并非总是如此。虽然您应该在安装扩展程序之前做好功课并保持一定的怀疑态度,但许多扩展程序都是完全可以安全使用的。为了在安装扩展程序之前保证安全,您应该验证开发人员的可信度。您可以通过查看产品说明并查找可能共享您的数据或跟踪浏览活动的内容来做到这一点。您还应该查看他们的网站,切勿安装来自未知开发人员的扩展程序。

虽然阅读用户评论并不是避免恶意扩展的万无一失的方法,但正如我们从上面的“PDF Toolbox”示例中了解到的那样,它们可以成为在安装扩展之前审查扩展的有用工具。如果用户对扩展有负面体验,他们通常会写评论来警告其他人。如果您注意到您正在考虑下载的扩展有几条负面评论或提到它以不适当的方式使用数据,最好不要下载它。相反,您应该搜索具有更好评分的类似扩展。

您还应密切关注应用请求的权限。如果这些权限似乎过多或与应用功能无关,则可能是滥用的迹象。例如,如果用于管理书签的扩展程序请求访问您的所有浏览数据,则这是一个危险信号。

安全使用扩展程序的最佳实践

如果您决定使用 Chrome 扩展程序,那么为确保自身安全,您可以采取的最重要的步骤之一就是仅从受信任的来源(例如 Chrome 网上应用店)安装扩展程序。这样做可确保您选择的扩展程序至少经过了一些安全检查,而从第三方网站安装扩展程序则无法保证这一点。您不应该只是安装 Chrome 扩展程序然后就忘了它们。相反,您应该不时检查扩展程序,以确保仍然需要它们,检查它们的权限并检查是否存在可疑行为。您可以通过 Chrome 的扩展程序菜单执行此操作,在其中查找任何不熟悉或不必要的扩展程序。当您删除不使用的扩展程序时,您可以减少浏览器的攻击面,这有助于确保您在浏览网页时的安全。

如果您在查看了开发者及其网站后仍对 Chrome 扩展程序存有疑问,则可以使用CRXcavator等安全工具来收集更多信息,以确定它是否可能构成安全威胁。根据您使用的扩展程序数量,您可能会遇到看似有害的扩展程序。发生这种情况时,您应该向 Google 报告。这样做可以让 Google 调查有问题的扩展程序,并在必要时将其从 Chrome 网上应用店中移除。