您是否知道浏览器扩展正在偷窥您的银行帐户?
【2021年6月4日存档】扩展程序可能看起来像小程序,但它们实际上很强大。iPhone或Android上的多数移动应用不能看到您在手机上做的所有事,但一个典型的浏览器扩展就可以看到您在网络浏览器中做的所有事
每当您登录到自己的银行账户时,您的浏览器扩展程序就会监视您。它们可以看到您的账户余额、交易、甚至包括网上银行的密码。它们可以看您浏览器中的一切:密码、信用卡号码、私人信息和您访问的网站。
扩展程序可以访问您的网络浏览器中的所有内容
例如,您有没有注意过在Chrome浏览器中安装浏览器扩展时看到的信息?对于大多数浏览器扩展,您会看到一条信息,说明该插件可以 “读取并更改您所访问网站的所有数据” 。
这意味着浏览器扩展可以完全访问您访问的所有网页。它可以看到您正在浏览的网页,阅读其内容,并观察您输入的所有内容。它甚至可以修改网页 — — 例如,插入额外的广告。如果该扩展是恶意的,它可以收集您所有的私人数据 — — 从网页浏览活动和您输入的电子邮件、到您的密码和财务信息 — — 并将其发送到互联网上的远程服务器。
因此,当您登录网上银行账户时,您的浏览器扩展程序就一直跟着您。它们可以在您登录时看到您的密码,并查看您在网上银行账户上可以看到的一切。它们甚至可以在您查看之前修改网上银行的页面。
有一个权限系统,但大多数扩展都能得到一切
我们在这里把事情过于简单化了,必须说:并不是每个扩展程序都能看到您的网上银行账户。在现代网络浏览器中,如谷歌Chrome、微软Edge、Mozilla Firefox和苹果Safari等浏览器扩展有一个权限系统。有些浏览器扩展程序使用的权限要少得多。
例如,它们可能只在您点击浏览器扩展的按钮时运行,这意味着在您点击该按钮之前,它们不能实际观看网页上的任何内容。它们可能只在特定的网站上运行 — — 例如,一个影响Gmail的浏览器扩展可能只在谷歌的网站上运行,而不是在其他网站上运行。
但是,大多数人使用的绝大多数浏览器扩展程序都有在浏览器加载的每个网站上运行的权限。
在谷歌Chrome和微软Edge中,您可以控制一个扩展程序的 “网站访问” 权限,并选择它是在您打开的所有网站上自动运行,还是只在您点击它时运行,或者只在您列出的特定网站上运行。
这是真正的风险吗?
我们在这里说的是,您使用的大多数(或所有)浏览器扩展可以看到您的银行账户信息,就像他们可以看到您在网络上的其他一切。
如果一个浏览器扩展是完全值得信赖的和可靠的,那就好办了。这样的浏览器扩展可以负责任地行事,不会捕获任何数据或干扰您的银行信息。
如果一个浏览器扩展程序不值得信任,想要滥用这种访问权 — — 好吧,它可以做到。
这不仅仅是一个理论上的问题。它已经发生过很多次了。即使您现在使用的所有扩展都是好的,这种危险也发生过多次。一个安全的扩展程序可能在一夜之间变成恶意软件。开发者可能会将扩展程序卖给另一家公司,而这家公司可能会添加跟踪代码、键盘记录器、或其他任何东西。这种事是大生意。扩展程序可能会在您加载的网页中显示更多的广告,并跟踪您以更好地定位广告,或者犯罪分子可能会捕获您的密码、个人信息和信用卡号码。
您的浏览器会自动安装更新,新的恶意版本的扩展程序就会开始工作。希望您的浏览器开发者能注意到这个问题,并禁用该扩展程序,但这可能需要一些时间。
是的,一些扩展程序已经被发现捕捉银行数据。
只从您信任的开发者处安装扩展程序
不是说您需要卸载您所拥有的每一个浏览器扩展程序。相反,只需意识到您正在给您安装的浏览器扩展程序提供了多么巨大的访问权限,并采取相应的行动。
如果您信任一个扩展的开发者,那么无论如何都要安装该扩展。例如,如果您使用一个密码管理器,并且已经信任该组织管理您的密码,那就酷又随意安装该密码管理器的浏览器扩展。在这里看到如何选择密码管理器。
另一方面,如果您想要一个漂亮的功能,并且发现了一个提供这种功能的扩展,但您从来没有听说过开发人员,并且不确定您应该多么信任他们 — — 那就最好考虑放弃这个浏览器扩展。
您可能还想限制该扩展程序的访问权限。例如,您可以安装一个扩展,并将其配置为只在特定网站上运行,或者您可以使用一个没有安装任何潜在危险扩展的单独浏览器来进行网上银行业务等类似的敏感行为。
但是,想想看,如果您不信任这个扩展程序,也许一开始就不应该运行它。
最终,浏览器扩展可以访问您在网络浏览器中的一切操作。所以,当您考虑安装浏览器扩展时,请问自己这个问题:您会从这个浏览器扩展的创建者那里安装一个Windows桌面应用程序然后让它在您的电脑上后台运行吗? 如果答案是不会,那就考虑放弃这个浏览器扩展程序吧。⚪️
Did You Know Browser Extensions Are Looking at Your Bank Account?