Τα πρόσθετα των προγραμμάτων περιήγησης έχουν τρωτά σημεία και είναι ευάλωτα σε επιθέσεις.
Οι ερευνητές που ασχολούνται με θέματα ασφαλείας στο διαδίκτυο έχουν ανακαλύψει ατέλειες στα συστήματα επεκτάσεων όλων των σύγχρονων προγραμμάτων περιήγησης, τα οποία μπορούν να εκμεταλλευτούν οι εισβολείς για να απαριθμήσουν όλες τις εγκατεστημένες επεκτάσεις του προγράμματος περιήγησης και να αποσπάσουν σημαντικές πληροφορίες των προσωπικών σας δεδομένων.
Ο συγκεκριμένος τρόπος επίθεσης επηρεάζει όλα τα προγράμματα περιήγησης, συμπεριλαμβανομένων Firefox, Edge και άλλα πολλά.
Οι ερευνητές επιβεβαίωσαν την παρούσα δυσλειτουργία σε προγράμματα περιήγησης που έχουν βάση το Chromium που χρησιμοποιούν το ίδιο σύστημα επεκτάσεων. Το κληρονομούμενο πρόσθετο σύστημα του Firefox είναι επίσης ευάλωτο στην επίθεση.
Για να επιτευχθεί ο σκοπός των επιτήδειων κάνουν χρήση των browsers με βάση το Chromium όπως το Google Chrome, το Yandex και το Opera, καθώς και προγράμματα περιήγησης που βασίζονται στο Firefox, όπως το Mozilla Firefox ή το Pale Moon και το Microsoft Edge.
Όλοι οι browsers υποτίθεται πως έχουν ένα σύστημα προστασίας δεδομένων στα πρόσθετα ή επεκτάσεις από την άμεση πρόσβαση από τους ιστότοπους που επισκέπτεστε στο διαδίκτυο. Ωστόσο, το κοντινό παρελθόν έχει δείξει ότι οι ιστότοποι ενδέχεται να χρησιμοποιούν διάφορες τεχνικές για τη σάρωση για εγκατεστημένα πρόσθετα και μέσω αυτών τους δίνεται η δυνατότητα να αποκτήσουν περαιτέρω στοιχεία, όχι όλοι, όμως είναι πραγματικότητα πως υπάρχουν κακόβουλα άτομα που έχουν κακές προθέσεις.
Όταν οι επεκτάσεις εισήχθησαν για πρώτη φορά, οι ιστοτόποι δυστυχώς δεν αποκλείστηκαν από την πρόσβαση σε τοπικούς πόρους. Η Mozilla και η Google εισήγαγαν στοιχεία ελέγχου για να εμποδίσουν τους ιστότοπους από την πρόσβαση σε αυτούς τους πόρους. Αυτό αντιμετωπίζεται από ρυθμίσεις ελέγχου πρόσβασης που δηλώνουν ότι όλες οι επεκτάσεις πόρων χρησιμοποιούνται ως ιδιωτικές από προεπιλογή σε προγράμματα περιήγησης Firefox, Chromium και Microsoft Edge.
Το Safari χρησιμοποιεί έναν διαφορετικό μηχανισμό προστασίας, καθώς αντικαθιστά τις πηγές URI των πόρων.
Οι ερευνητές της ασφάλειας ανακάλυψαν έναν τρόπο να απαριθμήσουν τις εγκατεστημένες επεκτάσεις του προγράμματος περιήγησης στις πιο πρόσφατες εκδόσεις. Το “timing side-channel attack” μπορεί να χρησιμοποιηθεί για να απαριθμήσει τις εγκατεστημένες επεκτάσεις του προγράμματος περιήγησης παρακολουθώντας την απόκριση τους στην πρόσβαση σε πόρους.
Όταν ένας ιστότοπος ζητά πρόσβαση σε έναν πόρο μιας επέκτασης στο πρόγραμμα περιήγησης, το πρόγραμμα περιήγησης πρέπει να εκτελέσει δύο ελέγχους για να διαπιστώσει εάν υπάρχει η επέκταση και εάν ο πόρος που θέλει να έχει πρόσβαση ο ιστότοπος είναι διαθέσιμος στο κοινό.
Για να κατανοήσετε πλήρως το παράδειγμα, οι επιτιθέμενοι ενδέχεται να εντοπίσουν κάποια τρωτά παραθυράκια ασφαλείας μέσω των extensions στα προσωπικά σας στοιχεία. Στη συνέχεια ο ιστότοπος μετράει το χρόνο που χρειάζεται για να επιστρέψει ένα αίτημα για μια ψεύτικη επέκταση με ψεύτικο πόρο και ο χρόνος που χρειάζεται για να ζητήσετε μια πραγματική επέκταση με μια πλαστή διαδρομή.
Συνοψίζοντας θα ήθελα να σας δώσω μερικές συμβουλές για τις επεκτάσεις ή τα πρόσθετα που χρησιμοποιείται στους Browsers σας. Ποτέ δεν εγκαθίσταται extensions από αμφιλεγόμενους ή άγνωστους εκδότες, μονάχα από έγκυρους και καλό είναι να δίνεται ιδιαίτερη προσοχή στο πότε ενημερώθηκε για τελευταία φορά το πρόσθετο, εάν έχει πριν πολλούς μήνες ή και χρόνια τότε μην μπαίνετε καν στη διαδικασία να το εγκαταστήσετε, διότι είναι επικίνδυνο.
