Ekstensi peramban jauh lebih berbahaya daripada yang disadari kebanyakan orang. Alat-alat kecil ini sering memiliki akses ke semua yang Anda lakukan secara online, sehingga mereka dapat menangkap kata sandi Anda, melacak penjelajahan web Anda, memasukkan iklan ke dalam halaman web yang Anda kunjungi, dan banyak lagi. Ekstensi browser populer sering dijual ke perusahaan yang teduh atau dibajak, dan pembaruan otomatis dapat mengubahnya menjadi malware.
Kami telah menulis tentang bagaimana ekstensi browser Anda memata-matai Anda di masa lalu, tetapi masalah ini belum membaik. Masih ada aliran konstan ekstensi menjadi buruk.
Ekstensi peramban berjalan di peramban web Anda, dan mereka sering kali membutuhkan kemampuan untuk membaca atau mengubah segala sesuatu di laman web yang Anda kunjungi.
Jika ekstensi memiliki akses ke semua halaman web yang Anda kunjungi, itu bisa melakukan apa saja. Ini bisa berfungsi sebagai keylogger untuk menangkap kata sandi dan detail kartu kredit Anda, memasukkan iklan ke dalam halaman yang Anda lihat, mengarahkan lalu lintas pencarian Anda di tempat lain, melacak semua yang Anda lakukan secara online-atau semua hal ini. Jika ekstensi perlu memindai tanda terima Anda atau hal-hal kecil lainnya, mungkin Anda memiliki izin untuk memindai email Andasegala sesuatu-yang sangat berbahaya.
Itu tidak berarti bahwa setiap ekstensiaku s melakukan hal-hal ini, tetapi merekabisa-dan itu harus membuatmu sangat, sangat waspada.
Peramban web modern seperti Google Chrome dan Microsoft Edge memiliki sistem izin untuk ekstensi, tetapi banyak ekstensi memerlukan akses ke semuanya agar dapat berfungsi dengan baik. Bahkan ekstensi yang hanya membutuhkan akses ke satu situs web bisa berbahaya. Misalnya, ekstensi yang memodifikasi Google.com dalam beberapa cara akan membutuhkan akses ke semua hal di Google.com, dan karena itu memiliki akses ke akun Google Anda-termasuk email Anda.
Ini bukan hanya alat kecil yang lucu dan tidak berbahaya. Mereka adalah program kecil dengan tingkat akses yang sangat besar ke browser web Anda, dan itu membuat mereka berbahaya. Bahkan ekstensi yang hanya melakukan sedikit hal ke halaman web yang Anda kunjungi mungkin memerlukan akses ke semua yang Anda lakukan di browser web Anda.
Peramban web modern seperti Google Chrome secara otomatis memperbarui ekstensi peramban yang terpasang. Jika ekstensi memerlukan izin baru, itu akan dinonaktifkan untuk sementara hingga Anda mengizinkannya. Namun, jika tidak, versi baru ekstensi akan berjalan dengan semua izin yang sama dari versi sebelumnya. Ini menyebabkan masalah.
Pada bulan Agustus 2017, ekstensi Pengembang Web yang sangat populer dan banyak direkomendasikan untuk Chrome dibajak. Pengembang jatuh karena serangan phishing, dan penyerang mengunggah versi baru dari ekstensi yang memasukkan lebih banyak iklan ke dalam halaman web. Lebih dari satu juta orang yang mempercayai pengembang ekstensi populer ini akhirnya mendapatkan ekstensi yang terinfeksi. Karena ini adalah ekstensi untuk pengembang web, serangan itu bisa menjadi jauh lebih buruk-itu tidak muncul bahwa ekstensi yang terinfeksi berfungsi sebagai keylogger, misalnya.
Dalam banyak situasi lain, seseorang mengembangkan ekstensi yang memperoleh sejumlah besar pengguna, tetapi tidak selalu menghasilkan uang. Pengembang tersebut didekati oleh perusahaan yang akan membayar sejumlah besar uang untuk membeli ekstensi. Jika pengembang menerima pembelian, perusahaan baru memodifikasi ekstensi untuk memasukkan iklan dan pelacakan, mengunggahnya ke Toko Web Chrome sebagai pembaruan, dan semua pengguna yang ada sekarang menggunakan ekstensi perusahaan baru-tanpa peringatan.
Ini terjadi pada Partikel untuk YouTube, ekstensi populer untuk menyesuaikan YouTube, pada bulan Juli 2017. Hal yang sama telah terjadi pada banyak ekstensi lain di masa lalu. Pengembang ekstensi Chrome mengklaim bahwa mereka selalu menerima penawaran untuk membeli ekstensi mereka. Pengembang ekstensi Honey dengan lebih dari 700.000 pengguna pernah menjalankan "Ask Me Anything" di Reddit, merinci jenis penawaran yang sering mereka terima.
Selain pembajakan dan penjualan ekstensi, mungkin juga ekstensi itu hanya berita buruk, dan secara diam-diam melacak Anda ketika Anda menginstalnya di tempat pertama.
Chrome telah diserang karena popularitasnya, tetapi masalah ini memengaruhi semua browser. Firefox bisa dibilang lebih berisiko, karena tidak menggunakan sistem izin sama sekali - setiap ekstensi yang Anda pasang mendapat akses penuh ke semuanya.
Inilah cara untuk tetap aman: Gunakan sesedikit mungkin ekstensi. Jika Anda tidak banyak menggunakan ekstensi, uninstal. Cobalah untuk mengurangi daftar ekstensi yang terpasang hanya ke hal-hal penting untuk memperkecil kemungkinan salah satu ekstensi yang terpasang menjadi buruk.
Penting juga untuk hanya menggunakan ekstensi dari perusahaan yang Anda percayai. Misalnya, ekstensi untuk menyesuaikan YouTube yang dibuat oleh orang acak yang belum pernah Anda dengar adalah kandidat utama untuk menjadi malware. Namun, Pemberitahu Gmail resmi yang dibuat oleh Google, ekstensi catatan OneNote yang dibuat oleh Microsoft, atau ekstensi pengelola kata sandi LastPass yang dibuat oleh LastPass hampir pasti tidak akan dijual ke perusahaan yang teduh untuk beberapa ribu dolar.
Anda juga harus memperhatikan ekstensi izin yang diperlukan, jika memungkinkan. Misalnya, ekstensi yang hanya mengklaim untuk mengubah satu situs web hanya boleh memiliki akses ke situs web itu. Namun, banyak ekstensi memerlukan akses ke segala sesuatu, atau akses ke situs web yang sangat sensitif yang ingin Anda pertahankan aman (seperti email Anda). Izin adalah ide yang bagus, tetapi mereka tidak terlalu berguna ketika sebagian besar hal membutuhkan akses ke semuanya.
Ini garis yang bagus untuk berjalan, tentu saja. Di masa lalu, kami mungkin mengatakan bahwa ekstensi Pengembang Web aman karena itu sah. Namun, pengembang jatuh karena serangan phishing dan ekstensi menjadi jahat.Ini adalah pengingat yang baik bahwa, bahkan jika Anda dapat mempercayai seseorang untuk tidak menjual ekstensi mereka ke perusahaan yang teduh, Anda mengandalkan orang itu demi keamanan Anda. Jika orang itu tergelincir dan membiarkan akun mereka dibajak, Anda akan berakhir dengan konsekuensi - dan mereka bisa jauh lebih buruk daripada yang terjadi dengan ekstensi Pengembang Web.
