Atnaujinta 2026 m.
Dauguma DI plėtinių niekada nebuvo audituoti
"Chrome" internetinėje parduotuvėje yra daugiau nei 180 000 naršyklės plėtinių. Daugelis – daugiausia DI įrankiai – prašo plataus prieigos. Jie skaito kiekvieną jūsų lankytą puslapį. Jie mato jūsų iškarpinę. Jie gali blokuoti arba keisti tinklo užklausas.
USENIX Security 2025 nustatė, kad 83 % "Chrome" plėtinių su plačiomis leidimomis niekada nebuvo audituoti. Kūrėjai juos sukūrė, paskelbė, o naudotojai juos įdiegė milijonais. Niekas netikrino, ar kiekvienas įrankis daro tik tai, ką teigia.
Ta spraga yra struktūrinė. "Chrome" internetinė parduotuvė nuskaito žinomus kenkėjiškus programas. Ji tikrina politikos taisykles. Ji negali patvirtinti, ar duomenų rinkimas yra visiškai atskleistas. Ji negali aptikti, ar duomenys keliauja pas paslėptas trečiąsias šalis.
Pusė įmonių darbuotojų naudoja nepatvirtintus įrankius
LayerX 2025 m. įmonės naršyklės saugumo ataskaita nustatė, kad 45 % įmonių darbuotojų naudoja naršyklės plėtinius, kurių IT niekada nepatvirtino. Šablonas yra įprastas. Darbuotojas randa naudingą įrankį. Jis jį įdiegia. IT niekada nesužino.
Sujunkite 83 % neaudituotų su 45 % nepatvirtintų. Beveik pusė įmonių darbuotojų gali naudoti įrankius, kurių saugumas niekada nebuvo patikrintas. Tie darbuotojai kasdien tvarko jautrius įmonės duomenis.
Reguliuojamuose sektoriuose rizika yra tiesioginė. HR darbuotojas, naudojantis nepatikrintą įrankį, skaitantį iškarpinės turinį, galėjo siųsti asmens duomenis nežinomam trečiajai šaliai. Teisininkas, naudojantis nepatikrintą DI rašymo įrankį, galėjo siųsti kliento duomenis nežinomam subjektui. Žiūrėkite mūsų teisinio atitikties gairių puslapį, kaip šios rizikos susiejamos su BDAR, HIPAA ir susijusiais dokumentais.
Ką rodo 900 000 naudotojų incidentas
2026 m. pradžios praneštas incidentas rodo gedimo modelį. Kenkėjiški "Chrome" plėtiniai atskleidė apie 900 000 naudotojų DI pokalbių žurnalus. Apie 600 000 atėjo iš vieno įrankio. Apie 300 000 atėjo iš kito. Abu, regis, siūlė tikras DI funkcijas. Abu buvo išvardyti "Chrome" internetinėje parduotuvėje. Abu turėjo didelę naudotojų bazę.
Duomenų vagystė buvo baigta per 30 minučių nuo įdiegimo. Kol tyrėjai rado įrankius, beveik milijonas naudotojų jau buvo praradęs savo DI pokalbių istorijos kontrolę. Tai apėmė bet kokį jautrų turinį, kurį jie buvo įvedę.
Incogni 2025 m. tyrimas nustatė, kad 67 % DI "Chrome" plėtinių renka naudotojų duomenis. Rinkimo praktikos, atskleidimas ir duomenų tikslai labai skiriasi toje grupėje. Žiūrėkite mūsų saugumo ir atitikties apžvalgą, kaip naršyklės lygio valdymas lyginasi su kiekvieno įrankio paties elgesiu pasitikėjimu.
Įmonės valdymo sistema
Blokuoti visus naršyklės plėtinius nėra realistiška. Kaina yra per didelė. Tinkamas atsakas yra valdymo sistema, ribojanti atskleidimą iki patikrintų, patvirtintų įrankių – daugiausia DI naudojimui.
Plėtinių sąrašo sudarymas. Apibrėžkite, kokie plėtiniai yra leidžiami įmonės įrenginiuose. Prieš pridedant bet kokį naują įrankį, reikalauti saugumo peržiūros. Naudoti "Chrome Enterprise" politiką, kad būtų blokuojami įdiegimai ne iš patvirtinto sąrašo.
Griežtesnė DI įrankių peržiūra. Bet kuris plėtinys, tvarkantis DI raginimus, gauna papildomą tikrinimą. Patikrinkite tinklo srautą, kad pamatytumėte, kur keliauja duomenys. Peržiūrėkite visą leidimų apimtį. Patvirtinkite leidėjo tapatybę.
Naršyklės lygio valdymas. Patvirtintiems DI įrankiams taikykite valdiklius, kurie perimtų jautrų turinį prieš jį pasiekiant DI tiekėjus. Tai pašalina poreikį pasitikėti kiekvieno plėtinio paties elgesiu.
83 % neaudituotų dažnis yra ne problema, kurią naudotojai gali išspręsti. Naudotojai negali audituoti "Chrome" plėtinių patys. Įmonės valdymas – patvirtintų sąrašai, politikos vykdymas ir techniniai valdikliai – yra patikimas atsakymas. Žiūrėkite mūsų DUK ir naršyklės DLP terminų žodyną išsamesnei informacijai.
anonym.legal "Chrome" plėtinys atlieka asmens duomenų nuskaitymą lokaliai naršyklėje. Nuskaitant jokio pokalbio turinio nepasiekia anonym.legal serveriai. Pakeistas, užmaskuotas raginimas yra tai, kas siunčiama DI paslaugai.