Το 2024, μια Chrome επέκταση με 900.000 ενεργοί χρήστες δημοσιογραφικά εκθέθηκε ως κακόβουλη. Ο δημοσιογράφος ανακάλυψε ότι η επέκταση είχε τροποποιηθεί να εξάγει δεδομένα προصorافي πλοήγησης. Το εργαλείο είχε θετικές κριτικές.
Αυτό δημιουργεί ένα σημαντικό ερώτημα για τον προμηθευτή:
Πώς επιλέγετε μια ασφαλή επέκταση ιδιωτικότητας;
Μάθημα 1: Κριτικές Δεν Σημαίνουν Ασφάλεια
Η επέκταση που εκτέθηκε είχε:
- Χιλιάδες θετικές κριτικές χρήστη
- Υψηλή επίτροχη στον Chrome Web Store
- Δήλωση ότι δεν πατεί δεδομένα
Αλλά ήταν κακόβουλη.
Γιατί Οι Κριτικές Αποτυγχάνουν:
- Οι περισσότεροι χρήστες δεν επιθεωρούν τι κάνει μια επέκταση - απλώς εργάζονται ή αποτυγχάνουν.
- Οι κακόβουλοι δημιουργοί μπορούν να στείλουν ψευδής κριτικές.
- Η κακόβουλη δεδομένα εξαγωγή ενδέχεται να μην είναι ορατή στον τελικό χρήστη.
Μάθημα 2: Υπογράφημα Κώδικας Δεν Είναι Επαρκής
Άλλες επεκτάσεις (συμπεριλαμβανομένου Firefox) απαιτούν κώδικα που πρέπει να υπογραφεί από τον δημιουργό. Αλλά Chrome Web Store δεν δημοσιεύει τον πηγαίο κώδικα. Δεν μπορεί να καμία έρευνα τι γίνεται.
Συμπέρασμα: Δεν προσέγγιση ενός δημιουργού χωρίς δημοσίως αποθηκευμένο κώδικα πηγής δεν πρέπει να θεωρείται ασφαλή.
Μάθημα 3: Όνομα Εταιρείας Και Ιστορία Δεν Εξασφαλίσει Ασφάλειας
Εκτός από τα κυλιόμενα κακόβουλα εργαλεία, ορισμένες επεκτάσεις που δημοσιεύονται από γνωστές εταιρείες ανίχνευσαν κατά λάθος συμπεριφορά:
- Το LastPass χρησιμοποίησε παλιωμένη κρυπτογράφηση (πρόσφατα εκτυφθεί από ICO)
- Ορισμένες VPN επεκτάσεις εγχύθηκαν δυσάρεστα ανάλυση δεδομένων
Συμπέρασμα: Ακόμη και γνωστοί δημιουργοί μπορεί να κάνουν σφάλματα ή να παραβιάσουν εμπιστοσύνη.
Δεκαπέντε Ερώτηση Ελέγχου: Αναζήτηση Επέκταση Προστασίας Δεδομένων
Πριν εγκατάστας οποιασδήποτε επέκτασης ιδιωτικότητας:
Ενότητα 1: Διαθεσιμότητα Κώδικα Πηγής
1. Είναι ο κώδικας πηγής δημόσιος;
- ✓ Καλό: Λεπτο repo στο GitHub με ιστορικό commit
- ✗ Κόκκινη σημαία: Δεν υπάρχει δημόσιος κώδικας ή το repo είναι "κενό"
2. Ποια είναι η ιστορία commit του repo;
- ✓ Καλό: Ενεργοί commits τα τελευταία 6 μήνες ενδείχνυται ενδιαφέρον
- ✗ Κόκκινη σημαία: Το repo δεν έχει ενημερωθεί για 12+ μήνες ή δημιουργήθηκε πρόσφατα (κακόβουλοι δημιουργοί δημιουργούν νέα repos)
Ενότητα 2: Εταιρική Δομή
3. Ποια είναι η εταιρεία που σταθεί πίσω από την επέκταση;
- ✓ Καλό: Επιχείρηση με ονοματεπώνυμο WHOIS, σάιτ ιστοεταιρείας, κοινή ταυτότητα
- ✗ Κόκκινη σημαία: Δεν υπάρχει εταιρεία δημοσιογραφικά χαρακτηριστικά ή WHOIS κρυμμένο
4. Υπάρχουν ανάρτηση ασφάλειας/ιδιωτικότητας σε χαμηλή τοποθεσία;
- ✓ Καλό: Σπαφή πολιτική ιδιωτικότητας που εξηγεί τι δεδομένα συλλέγονται
- ✗ Κόκκινη σημαία: Πολιτική ιδιωτικότητας δεν σύνδεσμος ή είναι ανάμνησης
Ενότητα 3: Ανάλυση Κώδικα
5. Τι δικαιώματα φίλοι ζητά η επέκταση;
Εάν μια επέκταση που πραγματοποιεί "αναγνώρισταν PII" ζητάει δικαιώματα όπως:
<all_urls>(προσβάσιμα κάθε ιστοσελίδα)webRequest(τροποποίηση δικτύου αίτησης)cookies(πρόσβαση στα cookies)
✓ Καλό: Περιορισμένες δικαιώματα (μόνο φιλοξένος που χρειάζεται) ✗ Κόκκινη σημαία: Ευρέα δικαιώματα χωρίς σαφή δικαιολόγηση
6. Ποιες έξοδοι έχει η επέκταση;
- ✓ Καλό: Δεδομένα παραμένουν τοπικά ή αποστέλλονται μόνο σε δηλωθείσα διακομιστή
- ✗ Κόκκινη σημαία: Άγνωστες εξωτερικές κλήσεις ή δίκτυο αίτηση ανιχνεύσιμες στον κώδικα
Ενότητα 4: Κρυπτογράφηση
7. Είναι τα δεδομένα κρυπτογραφημένα κατά τη μεταφορά;
- ✓ Καλό: HTTPS, TLS 1.2+ χρησιμοποιείται για όλες τις σύνδεσης
- ✗ Κόκκινη σημαία: HTTP ή χαμηλή έκδοση TLS
8. Εάν δεδομένα είναι αποθηκεύονται, είναι κρυπτογραφημένα;
- ✓ Καλό: AES-256 ή ισοδύναμη κρυπτογράφηση
- ✗ Κόκκινη σημαία: Δεδομένα αποθηκεύονται ως κείμενο ή δεν υπάρχει κρυπτογράφηση
Ενότητα 5: Τρίτος Έλεγχος
9. Υπάρχουν τρίτα αναθέσεις ασφάλειας ή δοκιμές;
- ✓ Καλό: Δημοσιευμένη ανάθεση τρίτης ασφάλειας (π.χ., από OpenSSF, Cure53, TripleByte)
- ✗ Κόκκινη σημαία: Καμία ανάθεση δημοσιευμένη
10. Υπάρχουν αναφορές σε προηγούμενες παραβιάσεις ή κακόβουλη δραστηριότητα;
- ✓ Καλό: Καμία αναφορά αναφέρεται σε αξιόπιστες πηγές
- ✗ Κόκκινη σημαία: Υπάρχουν αναφορές κακόβουλης δραστηριότητας σε Hacker News ή τεχνικά forums
Ενότητα 6: Κοινότητα
11. Υπάρχει ενεργή κοινότητα που αναφέρει προβλήματα;
- ✓ Καλό: GitHub ζητήματα με απαντήσεις από συγγραφέα, ενεργό Slack/Discord κανάλι
- ✗ Κόκκινη σημαία: Δεν υπάρχουν ζητήματα ή ήδη σημαία από χρήστες
12. Πόσο κόπιασαν Maintainers των;
- ✓ Καλό: Ένας ή περισσότερος ονοματεπώνυμο developers και πλήρης χρόνο
- ✗ Κόκκινη σημαία: Εργαλείο σας σχεδιάθηκε και συντηρήθηκε από "[deleted user]" ή άγνωστους contributors
Ενότητα 7: Ευχρηστία και Ορατότητα
13. Μπορώ να δω τι δεδομένα συλλέγονται σε περίπτωση λογιστικής;
- ✓ Καλό: Εργαλείο έχει δηλώσει ημερολόγιο ή αναφορές περίληψης
- ✗ Κόκκινη σημαία: Δεν υπάρχει διαφάνεια δεδομένων
14. Είναι μόνο η επέκταση δραστηριότητα;
- ✓ Καλό: Η επέκταση δουλεύει τοπικά (δεν στέλνει δεδομένα αν δεν το χρειάζονται)
- ✗ Κόκκινη σημαία: Η επέκταση συνεχώς φορτώνει ή αποστέλλει δεδομένα
Τελικές Σκέψεις
Μεταξύ όλων των δημιουργών επεκτάσεων, ψάξτε για:
- Δημόσιος, ενεργό κώδικας πηγής
- Ναι εταιρεία με πραγματική ταυτότητα
- Σαφή δικαιώματα έλεγχος κώδικα και ανάλυση
- Τρίτης αναθέσεις ασφάλειας
- Ενεργή κοινότητα χρήστη αναφέρουν προβλήματα
Εάν ένα εργαλείο δεν πληρονοεί αυτές, επιλέξτε διαφορετικό.
Πηγές: