Các tiện ích mở rộng trình duyệt có vẻ vô hại trên bề mặt đã bí mật biến người dùng thành các bot thu thập dữ liệu web, ảnh hưởng đến gần 1 triệu thiết bị trên toàn thế giới. Phát hiện này đã làm dấy lên cuộc thảo luận sôi nổi về đạo đức trong việc kiếm tiền từ các tiện ích mở rộng trình duyệt và hiệu quả của các biện pháp bảo mật hiện tại.
Mô Hình Kinh Doanh Ẩn Giấu Đằng Sau Các Tiện Ích Mở Rộng Miễn Phí
Nhà nghiên cứu bảo mật John Tuckner đã phát hiện 245 tiện ích mở rộng trên Chrome , Firefox và Edge tích hợp MellowTel-js , một thư viện JavaScript được thiết kế để kiếm tiền từ các tiện ích mở rộng thông qua việc thu thập dữ liệu web. Những tiện ích mở rộng này, phục vụ các mục đích hợp pháp như quản lý bookmark hoặc tăng âm lượng loa, đã được tải xuống gần 909.000 lần. Cộng đồng từ lâu đã nghi ngờ những thực hành như vậy, với các chuyên gia trong ngành lưu ý rằng loại hành vi này không phải là mới.
Các tiện ích mở rộng và VPN đã làm điều này trong nhiều năm, đó không phải là bí mật. Nơi tôi từng làm việc, chúng tôi đã trả tiền cho một công ty proxy/scraping cũng cung cấp dịch vụ scraping 'tàng hình' sử dụng các IP dân cư.
Việc kiếm tiền hoạt động bằng cách kết nối trình duyệt của người dùng với các khách hàng trả tiền cần dịch vụ thu thập dữ liệu web. Các công ty như Olostep sử dụng những mạng lưới trình duyệt này để tránh các hệ thống phát hiện bot, truy cập các trang web thông qua trình duyệt người dùng thực thay vì các bot scraping truyền thống.
Mô hình doanh thu của MellowTel:
- Các nhà phát triển extension nhận được: 55% doanh thu
- MellowTel giữ lại: 45% doanh thu
- Khách hàng chính: Các nhà quảng cáo và dịch vụ web scraping
- Phương thức: Chia sẻ băng thông thông qua trình duyệt của người dùng
Rủi Ro Bảo Mật Vượt Ra Ngoài Mối Quan Ngại Về Quyền Riêng Tư
Khía cạnh đáng báo động nhất không chỉ là việc sử dụng băng thông trái phép, mà là cách những tiện ích mở rộng này làm suy yếu bảo mật trình duyệt. MellowTel loại bỏ các header bảo mật quan trọng như Content-Security-Policy và X-Frame-Options khỏi các phản hồi web, khiến người dùng dễ bị tấn công cross-site scripting mà thông thường sẽ bị chặn. Điều này tạo ra mối đe dọa kép: người dùng trở thành những người tham gia không hay biết vào các hoạt động scraping thương mại trong khi việc duyệt web của chính họ trở nên kém an toàn hơn.
Các tiện ích mở rộng cũng chèn các iframe ẩn vào các trang web, kết nối đến các trang web không xác định được chỉ định bởi các máy chủ từ xa. Người dùng không có cách nào biết những trang web nào đang được truy cập thông qua trình duyệt của họ, tạo ra khả năng tiếp xúc với nội dung độc hại.
Các Header Bảo Mật Bị Loại Bỏ Bởi MellowTel:
- Content-Security-Policy (CSP)
- X-Frame-Options
- Các header bảo mật khác của web server
- Tác động: Tăng nguy cơ bị tấn công cross-site scripting
Phản Ứng Của Ngành Và Thách Thức Thực Thi
Các nhà cung cấp trình duyệt đã gặp khó khăn trong việc thực thi chính sách của chính họ chống lại những thực hành như vậy. Chính sách của cửa hàng web Chrome cấm các tiện ích mở rộng có nhiều mục đích, tuy nhiên hàng trăm tiện ích mở rộng này vẫn hoạt động cho đến gần đây. Cộng đồng đã kêu gọi các mô hình phân phối tốt hơn, tương tự như F-Droid cho các ứng dụng Android , sẽ cung cấp tính minh bạch hơn về hành vi của tiện ích mở rộng.
Các nỗ lực thực thi hiện tại cho thấy kết quả hỗn hợp. Trong số 245 tiện ích mở rộng được xác định, chỉ một phần nhỏ đã bị gỡ bỏ hoặc cập nhật để loại bỏ thư viện có vấn đề. Chrome đã thấy 12 trong số 45 tiện ích mở rộng bị vô hiệu hóa, trong khi Firefox và Edge đã gỡ bỏ thậm chí còn ít hơn.
Các Extension Bị Ảnh Hưởng Theo Nền Tảng Trình Duyệt:
- Chrome : 45 extension (12 hiện đã ngừng hoạt động)
- Edge : 129 extension (8 hiện đã ngừng hoạt động)
- Firefox : 71 extension (2 hiện đã ngừng hoạt động)
- Tổng số lượt tải xuống: Gần 909.000 trên tất cả các nền tảng
Những Tác Động Rộng Lớn Hơn
Sự cố này làm nổi bật xu hướng ngày càng tăng khi phần mềm miễn phí kiếm tiền thông qua việc thu thập dữ liệu ẩn hoặc chia sẻ băng thông. Thực hành này mở rộng ra ngoài các tiện ích mở rộng trình duyệt đến các VPN , ứng dụng di động và phần mềm đi kèm công khai quảng cáo các cách kiếm tiền từ băng thông internet không sử dụng.
Đối với các mạng doanh nghiệp, những tiện ích mở rộng này đặt ra những rủi ro đặc biệt bằng cách bỏ qua các biện pháp kiểm soát bảo mật và truy cập các trang web trái phép. Bản chất động của các mục tiêu scraping có nghĩa là ngay cả những tiện ích mở rộng có ý tốt cũng có thể khiến các mạng doanh nghiệp phải đối mặt với những rủi ro bảo mật không xác định.
Phát hiện này phục vụ như một lời nhắc nhở rằng các tiện ích mở rộng trình duyệt miễn phí thường đi kèm với những chi phí ẩn, dù là về quyền riêng tư, bảo mật, hay việc tham gia không hay biết vào các hoạt động thương mại mà người dùng chưa bao giờ đồng ý hỗ trợ.
Tham khảo: Browser extensions turn nearly 1 million browsers into website-scraping bots