Selainlaajennuksissa piilee tietoturvariski

Päivittämättömien selainliitännäisten haavoittuvuuksia hyödynnetään yleisesti haittaohjelmien levittämiseen verkkosivuilta. Vähemmän tunnettu ongelma on se, että selainlaajennukset (engl. addon ja extension) voivat olla suoranaisesti haitallisia. Myös selainten virallisten sovelluskauppojen tarkistusten läpi on ujuttautunut laajennuksia, jotka voivat ohjata käyttäjän haittaohjelmasivuille, asentaa ylimääräisiä työkalurivejä, varastaa käyttäjän tietoja tai julkaista Facebook-seinälle käyttäjän haluamatta.

Vale-LastPass näyttää mainoksia ja ohjaa haittaohjelmasivuille

Salasanoistaan kannattaa pitää huolta, joten monia saattaa kiinnostaa asentaa selaimeensa LastPass-laajennus. Huhtikuussa 2016 Chrome Web Storesta löytyi vale-LastPass. Asentamisen jälkeen huijarilaajennus ohjasi käyttäjän sivustolle, jossa oli mainoksia, epämääräisiä latauslinkkejä – ja hyvin pienellä tekstillä myös oikean LastPassin latausmahdollisuus. Hälytyskellojen olisi pitänyt soida siinä vaiheessa, kun julkaisijana oli "AdGetBlock" eikä "Lastpass.com".

"Lataa plugin, niin näet videon"

Syksyllä 2014 Facebookissa kiersi videolinkki, joka ohjasi Youtuben näköiselle sivustolle. Sivusto ilmoitti, että videon katselemiseen tarvitaan Chromen selainlaajennus. Käyttäjä ohjattiin lataamaan haitallinen laajennus virallisesta Chrome Web Storesta ja sen jälkeen oikeaan Youtubeen katsomaan videota. Videon lisäksi käyttäjä löysi Facebook-seinältään outoja postauksia ja kommentteja.

Hola! VPN -sovellus vaarantaa tietoturvan ja hyödyntää käyttäjän tiedonsiirtokapasiteettia

Kesällä 2015 Hola! VPN -sovelluksesta ja sen selainlaajennuksesta löytyi useita vakavia haavoittuvuuksia, joiden avulla haavoittuva järjestelmä oli mahdollista ottaa haltuun. Lisäksi Luminati-palvelun kautta myytiin Hola! VPN -käyttäjien verkkoresursseja muun muassa palvelunestohyökkäyksiin.

Monenlaisia tietoturvaongelmia

Selainlaajennukset ovat aihettaneet myös tietoturvaongelmia niissä ilmenneiden haavoittuvuuksien vuoksi. Joskus myös selainlaajennukseen julkaistu päivitys voi lisätä laajennukseen jonkin epätoivotun toiminnon.

Viisi vinkkiä selainlaajennuksiin

  1. Asenna selainlaajennukset vain luotetuista lähteistä.
  2. Tarkista julkaisijan nimi ja vertaa muihin lähteisiin. Ovatko välimerkit ja isot kirjaimet oikeissa paikoissa? Kuuluuko nimessä olla "Inc." tai ".com"?
  3. Milloin laajennus on viimeksi päivitetty? Hitaasti päivittyvä on tietoturvariski.
  4. Kuinka monta käyttäjää suosittelee tai käyttää laajennusta?
  5. Jos sivusto pyytää lataamaan laajennuksen, mieti kahdesti. Vierailetko aidolla sivulla vai sen haitallisella kopiolla?


Lisätietoa

Päivityshistoria

Asiasanat: Tietoturva , Haittaohjelma , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248