داستان افزونههای مرورگر (Browser Extensions) دقیقاً از همون چیزاییه که خیلیا بهش توجه نمیدن اما میتونه کلی دردسر درست کنه. شاید برات جالب باشه بدونی که میلیونها نفر تا حالا به خاطر نقص امنیتی جدی تو افزونههای مرورگر، افتادن تو دام افزونههای مخرب و خطرناک. حالا بیا با هم ریز این ماجرا رو دربیاریم.
اول از همه، احتمالاً دیدی که خیلی از این افزونهها تو فروشگاه کروم یا بقیه مرورگرها یه برچسبهایی مثل “Verified” یا “Chrome Featured” دارن. خیلیا وقتی این چیزا رو میبینن خیالشون راحت میشه که دیگه مشکلی نیست. اما واقعیت اینه که این برچسبا فقط ظاهر قضیه رو قشنگ میکنن و اصلاً تضمین نمیکنن که افزونه سالم باشه یا کار خلافی نکنه. یعنی حتی افزونهای که روش نوشته “تأیید شده”، میتونه حسابی خطرناک باشه و زیرپوستی اطلاعاتتو بدزده!
کافیه به ماجرای افزونه Geco Colorpick نگاه کنی؛ بر اساس تحقیقات Koi Research، ۱۸ تا افزونه مخرب تونستن برای ۲.۳ میلیون نفر جاسوسافزار (Spyware، یعنی برنامههایی که یواشکی اطلاعاتت رو جمع میکنن) پخش کنن. جالب اینجاست که بیشتر این افزونهها همون برچسب معروف “Verified” رو داشتن!
این مشکل خیلی وقتا برمیگرده به اینکه ابزارهای مخصوص برنامهنویسها تو مرورگر (Browser DevTools، یعنی اون ابزاری که برنامهنویسها باهاش اشکالزدایی یا Debug میکنن) اصلاً طراحی نشده بودن که رفتار پنهونی افزونهها رو کشف کنن. این ابزارا مال اواخر دهه ۲۰۰۰ هستن و هدفشون فقط دیباگ صفحات وب معمولی بود. اما الان افزونهها کارایی خیلی عجیبتر و پیچیدهتری میکنن: اسکریپت اجرا میکنن، از صفحه عکس میگیرن، روی تبهای مختلف فعالن و کلی حرکت غافلگیرکننده دیگه! DevTools فعلی نمیتونه بفهمه این کارها از طرف افزونه است یا خود سایت. مثلاً فرض کن یه افزونه بیاد و یه کد مخفی به یه صفحه تزریق کنه (یعنی واردش کنه)، ابزارهای فعلی نمیتونن بگن این کار رو سایت خودش کرده یا افزونه. نتیجهاش این میشه که کارهای خرابکارانه افزونهها اکثراً از چشم همه پنهون میمونه.
حالا شرکت SquareX دست به کار شده و داره یه چارچوب جدید (Framework) پیشنهاد میده. تو این طرح میخوان یه مرورگر سفارشی بسازن و از چیزی به اسم Browser AI Agents استفاده کنن. (Browser AI Agents یعنی رباتهای هوشمندی که مثل کاربرای واقعی با افزونهها کار میکنن تا ببینن چی تو چنته دارن!) اینجوری هیچ رفتار مخفیای از چشمشون دور نمیمونه. SquareX به این روش میگه Extension Monitoring Sandbox یعنی یه محیط امن برای زیر نظر گرفتن و تحلیل افزونهها؛ اینجا دیگه فقط ظاهر کدها رو نگاه نمیکنن بلکه رفتار واقعی افزونه رو تو شرایط مختلف امتحان میکنن.
هنوز کلی سازمان و کاربر عادی، فقط به آنتی ویروسهای رایگان یا همون محافظت اولیه مرورگرها امید بستن؛ اما واقعیت اینه که این ابزارا نمیتونن پا به پای ترفندهای عجیب و غریب افزونههای جدید بیان و عقب میمونن.
در کل داستان اینه: یه فاصله خطرناک بین خیال امنیت و امنیت واقعی وجود داره! یعنی خیلیا فکر میکنن امنان، اما واقعاً نیستن. حالا با این ابتکارهای جدید شاید تو آینده اوضاع بهتر بشه، ولی فعلاً باید حواسمون جمع باشه و به هر چی برچسب “تأیید” خورد دلخوش نباشیم.
پیشنهاد دوستانه: هر افزونهای رو نصب نکنین، حتی اگه کلی تعریف ازش شنیدین یا مهر تأیید داره. یه وقت میبینی کلی اطلاعات شخصیت دست افزونهای بوده که از ظاهرش اصلاً بهش نمیومده!
منبع: +
