پشت پرده امنیت افزونهها؛ ابهامات و خطرات پنهانی که باید بدانید!
این روزها امنیت در فضای دیجیتال بیشتر از همیشه به جزئیات کوچک وابسته شده است. خیلی از کاربران تصور میکنند اگر یک افزونه در فروشگاههای رسمی مثل کروم یا ویاسکد قرار دارد، نصب بالایی دارد یا حتی نشانهایی مثل Featured دریافت کرده، پس حتماً امن و قابل اعتماد است. اما واقعیت پیچیدهتر از این است. حضور یک ابزار در یک فروشگاه رسمی به معنی بررسی کامل همه رفتارهای آن نیست و سیستمهای خودکار گوگل و مایکروسافت هم محدودیتهای خودشان را دارند. در سالهای اخیر بارها دیده شده افزونههایی که ظاهر کاملاً عادی داشتهاند، بعد از مدتها توسط پژوهشگران امنیتی شناسایی شدهاند. بعضی از این ابزارها در ظاهر فقط یک قابلیت ساده ارائه میکنند؛ مثل تغییر ظاهر مرورگر، مدیریت تبها، ابزارهای کاربردی، مسدودکننده تبلیغات یا حتی افزونههای مرتبط با هوش مصنوعی. اما در پشت صحنه ممکن است دسترسیهایی داشته باشند که فراتر از نیاز واقعی آنهاست. یکی از روشهایی که باعث میشود شناسایی این تهدیدها سختتر شود، استفاده از کدهای داینامیک یا ارتباط با سرورهای خارجی است. ممکن است نسخهای که در زمان انتشار بررسی میشود رفتار مشکلی نداشته باشد، اما افزونه پس از نصب بتواند تنظیمات یا بخشهایی از کد را از یک سرور دریافت کند. در چنین شرایطی چیزی که ابتدا بررسی شده، لزوماً همان چیزی نیست که بعداً روی سیستم کاربر اجرا میشود.
این روزها امنیت در فضای دیجیتال بیشتر از همیشه به جزئیات کوچک وابسته شده است. خیلی از کاربران تصور میکنند اگر یک افزونه در فروشگاههای رسمی مثل کروم یا ویاسکد قرار دارد، نصب بالایی دارد یا حتی نشانهایی مثل Featured دریافت کرده، پس حتماً امن و قابل اعتماد است. اما واقعیت پیچیدهتر از این است. حضور یک ابزار در یک فروشگاه رسمی به معنی بررسی کامل همه رفتارهای آن نیست و سیستمهای خودکار گوگل و مایکروسافت هم محدودیتهای خودشان را دارند.
در سالهای اخیر بارها دیده شده افزونههایی که ظاهر کاملاً عادی داشتهاند، بعد از مدتها توسط پژوهشگران امنیتی شناسایی شدهاند. بعضی از این ابزارها در ظاهر فقط یک قابلیت ساده ارائه میکنند؛ مثل تغییر ظاهر مرورگر، مدیریت تبها، ابزارهای کاربردی، مسدودکننده تبلیغات یا حتی افزونههای مرتبط با هوش مصنوعی. اما در پشت صحنه ممکن است دسترسیهایی داشته باشند که فراتر از نیاز واقعی آنهاست. یکی از روشهایی که باعث میشود شناسایی این تهدیدها سختتر شود، استفاده از کدهای داینامیک یا ارتباط با سرورهای خارجی است. ممکن است نسخهای که در زمان انتشار بررسی میشود رفتار مشکلی نداشته باشد، اما افزونه پس از نصب بتواند تنظیمات یا بخشهایی از کد را از یک سرور دریافت کند. در چنین شرایطی چیزی که ابتدا بررسی شده، لزوماً همان چیزی نیست که بعداً روی سیستم کاربر اجرا میشود.
مشکل دیگر، دسترسیهایی است که افزونهها درخواست میکنند. بسیاری از کاربران هنگام نصب، بدون توجه به مجوزها فقط روی گزینه تأیید کلیک میکنند. اما یک افزونه ساده که برای یک کار محدود ساخته شده، نباید الزاماً به تمام سایتهایی که کاربر باز میکند، تاریخچه مرور یا اطلاعات واردشده در صفحات دسترسی داشته باشد. اگر چنین دسترسیهایی سوءاستفاده شوند، میتوانند اطلاعات حساسی مثل دادههای فرمها، نشستهای کاربری یا اطلاعات شخصی را در معرض خطر قرار دهند.
یکی از بخشهای نگرانکننده، دسترسی به کلیپبورد است. کاربران هر روز اطلاعات مختلفی مثل رمزها، کدهای تأیید دو مرحلهای، لینکها یا آدرس کیف پولهای دیجیتال را کپی میکنند. افزونهای که بدون دلیل به این بخش دسترسی داشته باشد، میتواند در سناریوهای مخرب این اطلاعات را مشاهده کند.
موضوع دیگر ثبت ورودیهای کاربر است. برخی بدافزارها تلاش میکنند رفتارهایی شبیه جاسوسافزار داشته باشند و اطلاعاتی را که کاربر در صفحات مختلف وارد میکند جمعآوری کنند. این موضوع مخصوصاً در حسابهای بانکی، ایمیل، پنلهای کاری و سرویسهای حساس اهمیت بیشتری پیدا میکند.
با رشد استفاده از هوش مصنوعی، یک حوزه جدید هم به این نگرانیها اضافه شده است. بعضی تحقیقات امنیتی نشان دادهاند که برخی ابزارهای رایگان یا افزونههای ناشناس ممکن است هنگام استفاده کاربر از سرویسهای هوش مصنوعی، به دادههای مکالمات، درخواستها یا اطلاعات کاری دسترسی پیدا کنند. بسیاری از کاربران بدون توجه، اطلاعات حساس کاری یا شخصی را در این سرویسها وارد میکنند و همین موضوع ارزش این دادهها را برای مهاجمان بیشتر میکند.
در کنار همه این موارد، همیشه مشکل از خود افزونه نیست. گاهی مسیر توسعه و انتشار یک ابزار هدف قرار میگیرد. در حملات زنجیره تأمین، مهاجمان ممکن است حساب یک توسعهدهنده را کنترل کنند و یک نسخه آلوده از همان افزونه معتبر منتشر کنند. در این حالت کاربر تصور میکند فقط یک بهروزرسانی معمولی نصب کرده، اما در واقع نسخهای تغییر یافته روی دستگاه او قرار گرفته است. این یعنی حتی ابزارهای شناختهشده هم نیاز به بررسی دارند. داشتن تعداد زیادی کاربر، امتیاز بالا یا قرار گرفتن در یک فروشگاه رسمی، تضمین صددرصدی امنیت نیست. بهترین کار این است که قبل از نصب هر افزونه، ببینیم واقعاً به آن نیاز داریم یا نه و آیا دسترسیهایی که میخواهد با کاربردش منطقی است یا خیر.
یکی از توصیههای رایج متخصصان امنیت این است که برای ابزارهای تازه منتشرشده عجله نکنیم. اجازه دادن به گذشت زمان باعث میشود اگر مشکلی در یک افزونه وجود داشته باشد، احتمال بیشتری وجود داشته باشد که توسط کاربران یا پژوهشگران امنیتی شناسایی شود. این موضوع فقط برای افزونهها نیست؛ درباره کتابخانههای برنامهنویسی، ابزارهای هوش مصنوعی و نرمافزارهای جدید هم اهمیت دارد. همچنین بهتر است دسترسی افزونهها را محدود کنیم. در مرورگرهایی مثل کروم میتوان بررسی کرد که هر افزونه چه مجوزهایی دارد و در صورت امکان آنها را به حالت محدودتر تغییر داد؛ مثلاً فقط زمانی فعال شود که خود کاربر روی آن کلیک میکند.
برای کارهای حساس مثل ورود به حسابهای بانکی، کیف پولهای دیجیتال، پنلهای مدیریتی یا حسابهای کاری، بهتر است از محیطی جدا استفاده شود؛ یک مرورگر بدون افزونه یا یک پروفایل جدا میتواند سطح خطر را کمتر کند.
در نهایت، هر افزونهای که دیگر استفاده نمیشود بهتر است حذف شود. ابزارهای قدیمی و رهاشده میتوانند در آینده به نقطه ضعف تبدیل شوند، مخصوصاً اگر توسعه آنها متوقف شده باشد یا کنترل حساب سازنده تغییر کند.
افزونهها بخش مهمی از تجربه اینترنت امروز هستند و بسیاری از آنها واقعاً مفیدند، اما نباید آنها را بدون بررسی نصب کرد. در دنیایی که دادههای شخصی ارزش بالایی دارند، کمی احتیاط قبل از نصب یک ابزار ساده میتواند جلوی یک مشکل بزرگ را بگیرد.