لا تعرّض أمان بياناتك للخطر باستخدام إضافات كروم

على الرغم من أن ملحقات كروم الشائعة تعد بحماية بيانات المستخدم، إلا أن أحدث تحليلات سيمانتك تُظهر أن العديد منها ينقل البيانات عبر بروتوكول HTTP غير المشفر، كما أنها تُضمّن مفاتيح واجهة برمجة التطبيقات ورموز الوصول في التعليمات البرمجية الخاصة بها. وهذا يخلق نقطة ضعف كبيرة أمام هجمات "الانتحال" (MITM)، خاصةً على شبكات Wi-Fi العامة.

ووفقًالموقع thehackernews.com، ترسل الإضافات التي يتم تنزيلها بالملايين مثل Browsec VPN وMicrosoft Editor وTrust Wallet وSEMRush Rank بيانات مثل معرّف الجهاز أو معلومات نظام التشغيل أو لغة المتصفح إلى الخوادم دون أي تشفير.

ويحذر الباحث الأمني يوانجينغ قوه من أن الأطراف الثالثة غير المصرح لها يمكنها بسهولة التنصت على حركة المرور هذه وبدء معاملات احتيالية نيابة عن المستخدمين.

ووجدت سيمانتك أن بعض الامتدادات تحتوي على مفاتيح واجهة برمجة التطبيقات المشفرة في ملفات جافا سكريبت التي توفر وصولاً مباشراً إلى خدمات مثل Google Analytics 4 أو Microsoft Azure أو AWS S3. على سبيل المثال، يستخدم برنامج DualSafe Password Manager HTTP بدلاً من HTTPS، مما يكشف بيانات مدير كلمات المرور، ويكشف Equatio مفتاح Azure الممكّن للتعرف على الصوت. باستخدام هذه المفاتيح، يمكن للمهاجمين فرض تكاليف على المطورين أو إساءة استخدام الموارد لتخزين محتوى غير قانوني.

كما أن المكتبات الخارجية شائعة الاستخدام مثل InboxSDK تسرّب بيانات الاعتماد في 90 ملحقاً على الأقل. وبالتالي، حتى لو بدت الإضافة نفسها نظيفة، فإنها تترك بابًا خلفيًا من خلال المكونات التي تستخدمها.

يوصي الخبراء الأمنيون بتجنب الامتدادات التي ترسل البيانات عبر HTTP، وتخزين مفاتيح واجهة برمجة التطبيقات على خوادم آمنة فقط، وتحديث بيانات الاعتماد هذه بشكل دوري. قد يكون الوقت قد حان للمستخدمين لمراجعة ملحقاتهم المثبتة وإزالة الملحقات غير الضرورية أو غير الموثوقة.