پس‌کوچه
اپ‌های اندروید
برو به محتوای اصلی

پشت پرده امنیت افزونه‌ها؛ ابهامات و خطرات پنهانی که باید بدانید!

این روزها امنیت در فضای دیجیتال بیشتر از همیشه به جزئیات کوچک وابسته شده است. خیلی از کاربران تصور می‌کنند اگر یک افزونه در فروشگاه‌های رسمی مثل کروم یا وی‌اس‌کد قرار دارد، نصب بالایی دارد یا حتی نشان‌هایی مثل Featured دریافت کرده، پس حتماً امن و قابل اعتماد است. اما واقعیت پیچیده‌تر از این است. حضور یک ابزار در یک فروشگاه رسمی به معنی بررسی کامل همه رفتارهای آن نیست و سیستم‌های خودکار گوگل و مایکروسافت هم محدودیت‌های خودشان را دارند. در سال‌های اخیر بارها دیده شده افزونه‌هایی که ظاهر کاملاً عادی داشته‌اند، بعد از مدت‌ها توسط پژوهشگران امنیتی شناسایی شده‌اند. بعضی از این ابزارها در ظاهر فقط یک قابلیت ساده ارائه می‌کنند؛ مثل تغییر ظاهر مرورگر، مدیریت تب‌ها، ابزارهای کاربردی، مسدودکننده تبلیغات یا حتی افزونه‌های مرتبط با هوش مصنوعی. اما در پشت صحنه ممکن است دسترسی‌هایی داشته باشند که فراتر از نیاز واقعی آن‌هاست. یکی از روش‌هایی که باعث می‌شود شناسایی این تهدیدها سخت‌تر شود، استفاده از کدهای داینامیک یا ارتباط با سرورهای خارجی است. ممکن است نسخه‌ای که در زمان انتشار بررسی می‌شود رفتار مشکلی نداشته باشد، اما افزونه پس از نصب بتواند تنظیمات یا بخش‌هایی از کد را از یک سرور دریافت کند. در چنین شرایطی چیزی که ابتدا بررسی شده، لزوماً همان چیزی نیست که بعداً روی سیستم کاربر اجرا می‌شود.

این روزها امنیت در فضای دیجیتال بیشتر از همیشه به جزئیات کوچک وابسته شده است. خیلی از کاربران تصور می‌کنند اگر یک افزونه در فروشگاه‌های رسمی مثل کروم یا وی‌اس‌کد قرار دارد، نصب بالایی دارد یا حتی نشان‌هایی مثل Featured دریافت کرده، پس حتماً امن و قابل اعتماد است. اما واقعیت پیچیده‌تر از این است. حضور یک ابزار در یک فروشگاه رسمی به معنی بررسی کامل همه رفتارهای آن نیست و سیستم‌های خودکار گوگل و مایکروسافت هم محدودیت‌های خودشان را دارند.

در سال‌های اخیر بارها دیده شده افزونه‌هایی که ظاهر کاملاً عادی داشته‌اند، بعد از مدت‌ها توسط پژوهشگران امنیتی شناسایی شده‌اند. بعضی از این ابزارها در ظاهر فقط یک قابلیت ساده ارائه می‌کنند؛ مثل تغییر ظاهر مرورگر، مدیریت تب‌ها، ابزارهای کاربردی، مسدودکننده تبلیغات یا حتی افزونه‌های مرتبط با هوش مصنوعی. اما در پشت صحنه ممکن است دسترسی‌هایی داشته باشند که فراتر از نیاز واقعی آن‌هاست. یکی از روش‌هایی که باعث می‌شود شناسایی این تهدیدها سخت‌تر شود، استفاده از کدهای داینامیک یا ارتباط با سرورهای خارجی است. ممکن است نسخه‌ای که در زمان انتشار بررسی می‌شود رفتار مشکلی نداشته باشد، اما افزونه پس از نصب بتواند تنظیمات یا بخش‌هایی از کد را از یک سرور دریافت کند. در چنین شرایطی چیزی که ابتدا بررسی شده، لزوماً همان چیزی نیست که بعداً روی سیستم کاربر اجرا می‌شود.

مشکل دیگر، دسترسی‌هایی است که افزونه‌ها درخواست می‌کنند. بسیاری از کاربران هنگام نصب، بدون توجه به مجوزها فقط روی گزینه تأیید کلیک می‌کنند. اما یک افزونه ساده که برای یک کار محدود ساخته شده، نباید الزاماً به تمام سایت‌هایی که کاربر باز می‌کند، تاریخچه مرور یا اطلاعات واردشده در صفحات دسترسی داشته باشد. اگر چنین دسترسی‌هایی سوءاستفاده شوند، می‌توانند اطلاعات حساسی مثل داده‌های فرم‌ها، نشست‌های کاربری یا اطلاعات شخصی را در معرض خطر قرار دهند.

یکی از بخش‌های نگران‌کننده، دسترسی به کلیپ‌بورد است. کاربران هر روز اطلاعات مختلفی مثل رمزها، کدهای تأیید دو مرحله‌ای، لینک‌ها یا آدرس کیف پول‌های دیجیتال را کپی می‌کنند. افزونه‌ای که بدون دلیل به این بخش دسترسی داشته باشد، می‌تواند در سناریوهای مخرب این اطلاعات را مشاهده کند.

موضوع دیگر ثبت ورودی‌های کاربر است. برخی بدافزارها تلاش می‌کنند رفتارهایی شبیه جاسوس‌افزار داشته باشند و اطلاعاتی را که کاربر در صفحات مختلف وارد می‌کند جمع‌آوری کنند. این موضوع مخصوصاً در حساب‌های بانکی، ایمیل، پنل‌های کاری و سرویس‌های حساس اهمیت بیشتری پیدا می‌کند.

با رشد استفاده از هوش مصنوعی، یک حوزه جدید هم به این نگرانی‌ها اضافه شده است. بعضی تحقیقات امنیتی نشان داده‌اند که برخی ابزارهای رایگان یا افزونه‌های ناشناس ممکن است هنگام استفاده کاربر از سرویس‌های هوش مصنوعی، به داده‌های مکالمات، درخواست‌ها یا اطلاعات کاری دسترسی پیدا کنند. بسیاری از کاربران بدون توجه، اطلاعات حساس کاری یا شخصی را در این سرویس‌ها وارد می‌کنند و همین موضوع ارزش این داده‌ها را برای مهاجمان بیشتر می‌کند.

در کنار همه این موارد، همیشه مشکل از خود افزونه نیست. گاهی مسیر توسعه و انتشار یک ابزار هدف قرار می‌گیرد. در حملات زنجیره تأمین، مهاجمان ممکن است حساب یک توسعه‌دهنده را کنترل کنند و یک نسخه آلوده از همان افزونه معتبر منتشر کنند. در این حالت کاربر تصور می‌کند فقط یک به‌روزرسانی معمولی نصب کرده، اما در واقع نسخه‌ای تغییر یافته روی دستگاه او قرار گرفته است. این یعنی حتی ابزارهای شناخته‌شده هم نیاز به بررسی دارند. داشتن تعداد زیادی کاربر، امتیاز بالا یا قرار گرفتن در یک فروشگاه رسمی، تضمین صددرصدی امنیت نیست. بهترین کار این است که قبل از نصب هر افزونه، ببینیم واقعاً به آن نیاز داریم یا نه و آیا دسترسی‌هایی که می‌خواهد با کاربردش منطقی است یا خیر.

یکی از توصیه‌های رایج متخصصان امنیت این است که برای ابزارهای تازه منتشرشده عجله نکنیم. اجازه دادن به گذشت زمان باعث می‌شود اگر مشکلی در یک افزونه وجود داشته باشد، احتمال بیشتری وجود داشته باشد که توسط کاربران یا پژوهشگران امنیتی شناسایی شود. این موضوع فقط برای افزونه‌ها نیست؛ درباره کتابخانه‌های برنامه‌نویسی، ابزارهای هوش مصنوعی و نرم‌افزارهای جدید هم اهمیت دارد. همچنین بهتر است دسترسی افزونه‌ها را محدود کنیم. در مرورگرهایی مثل کروم می‌توان بررسی کرد که هر افزونه چه مجوزهایی دارد و در صورت امکان آن‌ها را به حالت محدودتر تغییر داد؛ مثلاً فقط زمانی فعال شود که خود کاربر روی آن کلیک می‌کند.

برای کارهای حساس مثل ورود به حساب‌های بانکی، کیف پول‌های دیجیتال، پنل‌های مدیریتی یا حساب‌های کاری، بهتر است از محیطی جدا استفاده شود؛ یک مرورگر بدون افزونه یا یک پروفایل جدا می‌تواند سطح خطر را کمتر کند.

در نهایت، هر افزونه‌ای که دیگر استفاده نمی‌شود بهتر است حذف شود. ابزارهای قدیمی و رهاشده می‌توانند در آینده به نقطه ضعف تبدیل شوند، مخصوصاً اگر توسعه آن‌ها متوقف شده باشد یا کنترل حساب سازنده تغییر کند.

افزونه‌ها بخش مهمی از تجربه اینترنت امروز هستند و بسیاری از آن‌ها واقعاً مفیدند، اما نباید آن‌ها را بدون بررسی نصب کرد. در دنیایی که داده‌های شخصی ارزش بالایی دارند، کمی احتیاط قبل از نصب یک ابزار ساده می‌تواند جلوی یک مشکل بزرگ را بگیرد.

اپ اندروید پس‌کوچه را دانلود کنید

دانلود
بازگشت به بالا