كيف تتحول ملحقات المتصفح إلى برامج ضارة

قد تتحول ملحقات متصفح الويب من مفيدة إلى خطيرة بمجرد تحديث واحد، مما قد يؤدي إلى كشف عادات التصفح الخاصة بك وبعض البيانات الشخصية لمطور أو شركة خارجية غير معروفة. لقد حدث هذا مرارًا وتكرارًا، على الرغم من الجهود الحثيثة التي تبذلها Google وMicrosoft ومطورو المتصفحات الآخرون. وإليك كيف يحدث هذا باستمرار، وما يمكنك القيام به لحماية نفسك.

تم تقديم هذه المقالة الخاصة بأسبوع التوعية بالأمن السيبراني إليك بالتعاون مع Incogni.

إن ملحقات المتصفح مجانية التثبيت إلى حد كبير. في الواقع، تعد الملحقات المدفوعة نادرة للغاية لدرجة أن جوجل تغلق نظام المدفوعات بالنسبة لمتجر Chrome الإلكتروني في عام 2020، فإن هذا يدفع المطورين إلى أنظمة دفع أخرى. عادةً ما تحتوي الإضافات المميزة القليلة الموجودة على مستوى ما من الوظائف المجانية، أو توجد كمكون لبعض الخدمات المدفوعة الأكبر حجمًا. على سبيل المثال، محرر مايكروسوفت يمكنك إصلاح بعض الأخطاء المطبعية والنحوية مجانًا، ولكن تتطلب النصائح الأكثر تقدمًا في التدقيق والكتابة اشتراكًا مدفوعًا في Microsoft 365. بالنسبة للخدمات مثل بروتون في بي إنيعد الامتداد مجرد خيار عميل آخر، إلى جانب التطبيقات الأصلية لأجهزة سطح المكتب والمنصات المحمولة.

تعتمد ملحقات المتصفح المجانية عادةً على التبرعات أو المساهمات مفتوحة المصدر أو عائدات الشركات التابعة لدعم التكلفة والوقت اللازمين للتطوير. ومع ذلك، يبحث المطورون أحيانًا عن طرق لتوليد إيرادات إضافية دون فرض رسوم على المستخدم، وهنا نبدأ في مواجهة المشاكل.

الهبوط نحو الأسفل

تجني العديد من الإضافات المال من منصات التحليلات والإعلانات التابعة لجهات خارجية. يمكن للمطور إضافة هذه المنصات إلى أحد الإضافات، والتي ستسجل بعد ذلك بيانات الاستخدام من المستخدم (مثل عادات التصفح) أو تعرض الإعلانات في مكان ما في المتصفح، وتدفع للمطور بناءً على عدد المستخدمين وكمية البيانات التي يتم جمعها. يحصل منشئ الإضافة على تدفق ثابت من الدخل، في مقابل خصوصيتك. في بعض الأحيان يتم بيع الإضافة بشكل مباشر لشركة إعلانات/بيانات.

لقد كنت تطوير ملحقات المتصفح على مدار أكثر من عقد من الزمان، وعلى مر السنين، تلقيت عددًا ثابتًا من رسائل البريد الإلكتروني تطلب مني وضع رمز التتبع في ملحقاتي أو بيعها بشكل مباشر. في الواقع، تلقيت رسالة أخرى أثناء كتابة هذا المقال. لا، حقًا.

أنا لست وحدي بالتأكيد. أوليج أناشكين، مطور امتداد Hover Zoom+وقد نشرت قائمة التشغيل من بين جميع طلبات الاستحواذ على الامتداد الخاص بهم على GitHub. تدور العديد من العروض حول إضافة كود يقوم بحقن الروابط التابعة في الصفحات، أو جمع بيانات المستخدم. زعم أحد هؤلاء أنه “طور تقنية جديدة لجمع البيانات يمكن إضافتها إلى الامتدادات وتسجيل عادات تصفح الويب للمستخدمين بسلاسة”. تحاول بعض الرسائل أيضًا طمأنة المطور بأن كوده لن يتسبب في طرد الامتداد من متجر Chrome الإلكتروني – إذا كان عليك أن تقول ذلك، فهذه ليست علامة جيدة.

لا تمنع Google بشكل مباشر سلوك تخزين البيانات هذا للإضافات المدرجة في متجر Chrome الإلكتروني. لا يمكن للإضافات التي تحتوي على إعلانات تقليد النوافذ المنبثقة على مستوى المتصفح أو الكمبيوتر وهي مطلوب لتحديد مصدر الإعلانات (على سبيل المثال، قد يظهر بجوار الإعلان الذي تم حقنه “من ملحق SuperCoolVPN”). الملحقات التي تجمع البيانات يجب أن يكون لديك سياسة الخصوصية يوضح هذا ما هي البيانات التي تم الحصول عليها ومن تتم مشاركتها معه. بالإضافة إلى ذلك، عند إرسال الإضافات إلى متجر Chrome الإلكتروني، يتعين على المطور تقديم شرح لكل إذن على حدة. طالما أن الإضافة شفافة بشأن جمع البيانات لأطراف ثالثة، فعادةً ما يُسمح بها.

ومع ذلك، تتطلب كل هذه السياسات مستوى معينًا من التنفيذ، مما يعني أنه من الممكن أن تجمع الإضافات الضارة بعض بيانات المستخدم قبل أن تلاحظها Google أو أي بائع متصفح آخر وتتخذ إجراءً. في عام 2019، تم اكتشاف إضافات Avast وAVG’s Online Security تسجيل بيانات زيارة الموقع وبيعها إلى Home Depot وGoogle وPepsi وشركات أخرى من خلال شركة Jumpshot التابعة لشركة Avast. في عام 2016، تم إصدار ملحق المتصفح الشهير Web of Trust بيع بيانات المستخدم القابلة للتعريف بعد أن زعمت أنها مجهولة.

لماذا تختلف الامتدادات

إن ملحقات المتصفح ليست البرامج الوحيدة التي قد تغزو خصوصيتنا، ولكنها من أصعب البرامج التي يمكن حمايتها. فالكثير منها يتطلب الوصول إلى كل صفحة تزورها لأن هذه هي الطريقة التي تعمل بها. وهذه هي الطريقة الوحيدة التي تتيح لها إضافة النوافذ المنبثقة، والقوائم الجديدة، والتحقق من القواعد النحوية في حقول النص، أو تنفيذ إجراءات أخرى. ويمكن تقييد بعضها على عدد قليل من مواقع الويب، أو تشغيلها فقط عند الحاجة، ولكن معظمها يتطلب وصولاً واسع النطاق للعمل كما هو معلن.

إذا كان لديك أي ملحقات للمتصفح مثبتة، فتأكد من أنها من مطور أو شركة يمكنك الوثوق بها تمامًا. قد ترغب أيضًا في التفكير في دعم ملحقات المتصفح المفضلة لديك من خلال التبرعات أو الميزات المتميزة أو أي طرق أخرى متاحة – إذا أصبحت شركات التحليلات المشبوهة هي الطريقة الوحيدة التي يمكن بها للملحقات تغطية تكاليف التطوير، فستصبح الملحقات أقل أمانًا مما هي عليه بالفعل.