Tại sao tiện ích mở rộng lại nguy hiểm

Tiện ích mở rộng chạy trên trình duyệt của bạn thường yêu cầu quyền đọc hay thay đổi một vài hay toàn bộ thông tin liên quan đến trải nghiệm lướt web.

Nếu một tiện ích nào đó có khả năng truy cập vào những trang web bạn ghé thăm, nó hầu như sẽ làm được nhiều hơn thế nữa. Cụ thể, tiện ích đó có thể ghi chép lại mật khẩu và tài khoản thẻ tín dụng, thêm quảng cáo vào trang bạn đang xem, chuyển hướng tìm kiếm của bạn, theo dõi tất cả hành động bạn thực hiện trên trình duyệt.

Nếu một tiện ích yêu cầu quyền quét qua hóa đơn thanh toán hoặc nhiều thứ nhỏ nhặt khác, nó cũng có thể quét được email của bạn. Còn gì nguy hiểm hơn, khi công việc, học tập, thậm chí nhiều bí mật khác hầu như dễ dàng được tìm thấy trong các hộp thư email. Tuy nhiên, không có nghĩa là tất cả tiện ích mở rộng đáng bị tẩy chay, nhưng khả năng chúng làm những việc không hay ho như trên, làm bạn lo lắng phải không nào?

Ảnh: freedownloadmanager

Những trình duyệt hiện nay như Google Chrome và Microsoft Edge có một hệ thống phân quyền riêng cho tiện ích mở rộng, dù vậy nhiều tiện ích vẫn "đòi hỏi" quyền truy cập vào mọi thứ, với lý do là để hỗ trợ người dùng tốt hơn.

Ngay cả một tiện ích chỉ yêu cầu quyền truy cập một trang web thôi cũng đã nguy hiểm rồi. Ví dụ như một tiện ích yêu cầu quyền chỉnh sửa liên quan đến Google.com khi bạn đang xem nội dung trên tên miền này, bằng cách nào đó nó có thể xâm nhập vào sâu hơn. Từ đó, có quyền truy cập vào tài khoản Google của bạn, bao gồm cả email.

Làm sao một tiện ích an toàn có khả năng trở thành malware

Trình duyệt như Google Chrome tự động cập nhật những tiện ích mà bạn đã cài từ trước. Nếu một tiện ích yêu cầu quyền mới, nó sẽ bị tạm ngưng và chờ sự cho phép của bạn. Mặt khác, phiên bản mới của tiện ích sẽ vẫn chạy bình thường với tất cả quyền hạn như phiên bản cũ. Đây là lúc có vấn đề.

Mới đây, một tiện ích cực kì phổ biến trên Chrome là Web Developer đã bị tấn công chiếm quyền. Người viết nên ứng dụng đã lọt vào bẫy lừa đảo, và kẻ tấn công nhanh chóng đưa lên một phiên bản mới của tiện ích này và thêm nhiều chương trình quảng cáo vào tiện ích.

Hơn một triệu người đã bị ảnh hưởng. May mắn thay đây chỉ là tiện ích hỗ trợ lập trình website. Sự cố này có lẽ đã tệ hơn nữa nếu như tiện ích này có khả năng lưu lại thông tin người dùng.

Tiện ích Web Developer đã bị chiếm quyền để chèn vào các quảng cáo

Trường hợp khác, giả sử nhiều lập trình viên tạo ra tiện ích hữu ích, thu hút nhiều người sử dụng, nhưng không hề đem lại lợi nhuận nào. Sau đó, một công ty khác có thể trả cho các lập trình viên này một khoản tiền lớn để mua lại tiện ích này. 

Nếu hai bên đạt được thỏa thuận, chủ sở hữu mới của tiện ích đó sẽ chỉnh sửa và thêm quảng cáo hay khả năng theo dõi vào tiện ích. Cuối cùng, tiện ích được cập nhật phiên bản mới, người dùng vẫn sử dụng mà không được thông báo gì về việc này cả.

Những lập trình viên chuyên về tiện ích mở rộng đã chia sẻ họ liên tục nhận được những đề nghị mua lại sản phẩm của họ với giá cao trên các diễn đàn lớn.

Trình duyệt Chrome bị tấn công thường xuyên nhất, nhưng vấn đề này không chỉ của riêng họ. Firefox thậm chí còn tồi tệ hơn, vì trình duyệt không sử dụng hệ thống phân quyền cho tiện ích – mọi tiện ích bạn cài có quyền truy cập đến hầu như mọi thứ trên trình duyệt.

Cách giảm thiểu rủi ro

Sử dụng càng ít tiện ích mở rộng càng tốt, đây là lời khuyên thứ nhất. Nếu bạn không sử dụng thường xuyên một tiện ích nào đó, hãy xóa đi. Cố gắng giảm số lượng tiện ích mở rộng mà bạn đang sử dụng để giảm khả năng bị ảnh hưởng.

Điều quan trọng cần nhớ tiếp theo là chỉ sử dụng tiện ích từ những nhà cung cấp uy tín mà bạn biết. Không sử dụng sản phẩm nào mà bạn chưa biết rõ người tạo ra sản phẩm là ai.

Ảnh Howtogeek

Một vài tiện ích có thể tin cậy là Gmail Mail Checker (kiểm tra hộp thư Gmail) của Google, ghi chú OneNote của Microsoft, hoặc tiện ích quản lý mật khẩu LastPass. Đây là những tiện ích gần như chắc chắn không thể bị bán cho bên thứ ba hay bị lạm dụng để gây ảnh hưởng xấu đến người dùng.

Hãy lưu ý đến quyền hạn của tiện ích. Nếu như tiện ích yêu cầu quyền vượt quá những gì mà trong mô tả tính năng của tiện ích, bạn nên cẩn thận và xem xét lại liệu có cần thiết phải cài đặt không.