Säkerhetsrapport avslöjar dataläckor hos webbläsartillägg

Permalänk
Melding Plague

Säkerhetsrapport avslöjar dataläckor hos webbläsartillägg

Svenska Dagens Nyheter rapporterar att tillägg i webbläsarna Chrome och Firefox läckt information om användare i flera månaders tid.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Medlem

Standardinställningen i webbläsare brukar dessutom vara "Uppdatera tillägg automatiskt". Så rent krasst skulle illasinnade kunna ha en långsiktig strategi och bygga upp en användarbas med ett till synes sjysst tillägg för att sedan, efter något år, smyga in en uppdatering med sådan kod.

På jobbet kör jag Firefox utan tillägg. Hemma kör jag Firefox med endast uBlock Origin.

Visa signatur

Windows 11 Pro | Intel i7 8700 | ASUS Prime Z370-P | Corsair 16GB 3000MHz | ASUS GTX 1080 | Fractal Design Define S | Corsair RM750x | Hyper 212 EVO

Permalänk
Medlem

En bra tumregel är att bara använda sådana tillägg som man verkligen behöver, då behörigheterna kan gå riktigt långt. Att det är roligt med att alla flikar har olika färger och diverse verktyg kan vara smidigt men varje tillägg ökar risken för phone-home funktionalitet och ger potentiellt större attack vektorer.

Personligen används enbart Ublock Origin för reklam, https everywhere för att tvinga https anslutningar, och privacy badger för att motverka spårningar / fingerprinting.

Visa signatur

Endeavour OS(arch) - Cassini Nova

Permalänk
Medlem

Är inte det här en ganska gammal nyhet? Jadali-rapporten och de flesta nyheter kring den publicerades ju i mitten av juli: https://securitywithsam.com/2019/07/dataspii-leak-via-browser... (samma länk som i artikeln)

Känns lite oklart vad DN haft för roll i detta (om någon) som kan förklara dröjsmålet samt varför de får nästan all ära i denna artikel för sitt reportage när Jadali, som huvudsakligen står bakom rapporten, bara nämns kort "I samarbete med".

Varför hänvisa till DN:s reportage (som t.o.m. kräver en prenumeration att läsa) istället för att gå direkt på källan (Jadali-rapporten)? Framför allt när innehållet verkar vara näst intill identiskt med vad i princip vartenda annan tekniknyhetsmedia redan skrivit när rapporten först publicerades i juli.

Permalänk
Lyxfällan 🎮

@Timmy Fox: ja den ursprungliga rapporten är från i somras. Det DN har gjort, och det vi lyfter fram, är att många använt dessa webbläsartillägg månader efter rapporten ursprungligen presenterades. De flesta lär helt enkelt inte varit medvetna om Jadalis rapport, och DN:s artikel belyser det på ett sätt som fler svenskar får upp ögonen för. DN gör problemet mer påtagligt för svenska användare, och då får de också fokus i vår källhänvisning.

Visa signatur

"We're with the press, hired geeks!"
Raoul Duke, Fear n' Loathing in Las Vegas

Permalänk
99:e percentilen
Skrivet av Nikka:

Webbadresser avslöjar mer än bara användarnas surfhistorik. Webbadresser kan innehålla känsliga parametrar, till exempel delnings-ID:n eller rent av filnamn. I fel händer avslöjar webbadresser på så sätt mycket mer än bara vilka webbplatser som användarna besöker.

Framförallt har tillägg i allmänhet full åtkomst till allt innehåll på alla sidor användaren besöker. Alltså själva HTML-dokumentet.

Visa signatur

Skrivet med hjälp av Better SweClockers

Permalänk
Medlem
Skrivet av Joppis:

Standardinställningen i webbläsare brukar dessutom vara "Uppdatera tillägg automatiskt". Så rent krasst skulle illasinnade kunna ha en långsiktig strategi och bygga upp en användarbas med ett till synes sjysst tillägg för att sedan, efter något år, smyga in en uppdatering med sådan kod.

På jobbet kör jag Firefox utan tillägg. Hemma kör jag Firefox med endast uBlock Origin.

Inget hypotetiskt scenario, utan något som faktiskt sker. Gamla tillägg säljs eller byter ägare, som sedan "uppdaterar".

Permalänk
Medlem

Förjävligt för de som drabbats

Själv verkar jag klara mig då jag inte använder någon av de där tilläggen.

Visa signatur

ozzed.net Min egenkomponerade 8-bit musik. Gillar du musiken från gamla klassiska NES eller Gameboy och liknande är det värt ett besök. :) Jag finns också på Spotify, Bandcamp, Jamendo, Youtube, och du kan även följa mig på Twitter och Facebook.
Vet du att du har fel? Signalera detta tydligt med Argumentationsfel och gärna Whataboutism.

Permalänk
Hedersmedlem
Skrivet av Ozzed:

Förjävligt för de som drabbats

Själv verkar jag klara mig då jag inte använder någon av de där tilläggen.

Enligt DNartikeln (som är en av källorna) går man inte riktigt säker hur man själv än agerar.

– "Man kanske tror att det inte kommer beröra mig. Men även om du är världens mest säkerhetsmedvetna person så behöver det inte spela någon roll. Du kommer ändå påverkas om du har en vän som använder det här tillägget, säger han."

Huruvida det handlar om just en vän vet jag inte riktigt.
Men storföretagen drabbas.
https://www.dn.se/nyheter/sverige/storforetag-bland-de-avlyss...
Vårdinrättningar drabbas och andra instanser med känslig data drabbas.
Det läcker alltså data - om exempelvis dig. Men inte från dina enheter utan från andra institutioner.

Den delen är extra trist och helt enkelt omöjligt att skydda sig ifrån.

Visa signatur

🎮 → Node 304 • Ryzen 5 2600 + Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx • 🥽 → VR: Samsung HMD Odyssey+
🎧 → Steelseries arctic 7 2019
🖱️ → Logitech g603 | ⌨️ → Logitech MX Keys
💻 → Lenovo Yoga slim 7 pro 14" Oled

Permalänk
Medlem

"Enligt säkerhetsexperten Karl Emil Nikka bör användare vara återhållsamma med hur många tillägg som installeras i webbläsaren."

Nu är jag petig, men antalet tillägg har ingen betydelse i sig, utan vad det är för tillägg. Så jag skulle säga "vilka" och inte "hur många".

Men visst, ju fler tillägg man installerar desto större sannolikhet att en av dem är malware, förstås.

(Samma sak för övrigt när det gäller hur många bakterier det t.ex. finns på ett tangentbord; antalet är ointressant, vilka är det viktiga.)

Visa signatur

5950X, 3090

Permalänk
Medlem
Skrivet av Söderbäck:

Enligt DNartikeln (som är en av källorna) går man inte riktigt säker hur man själv än agerar.

– "Man kanske tror att det inte kommer beröra mig. Men även om du är världens mest säkerhetsmedvetna person så behöver det inte spela någon roll. Du kommer ändå påverkas om du har en vän som använder det här tillägget, säger han."

Huruvida det handlar om just en vän vet jag inte riktigt.
Men storföretagen drabbas.
https://www.dn.se/nyheter/sverige/storforetag-bland-de-avlyss...
Vårdinrättningar drabbas och andra instanser med känslig data drabbas.
Det läcker alltså data - om exempelvis dig. Men inte från dina enheter utan från andra institutioner.

Den delen är extra trist och helt enkelt omöjligt att skydda sig ifrån.

Åfan... Illa. Surt när man själv ska drabbas av att andra klantar till det.

Visa signatur

ozzed.net Min egenkomponerade 8-bit musik. Gillar du musiken från gamla klassiska NES eller Gameboy och liknande är det värt ett besök. :) Jag finns också på Spotify, Bandcamp, Jamendo, Youtube, och du kan även följa mig på Twitter och Facebook.
Vet du att du har fel? Signalera detta tydligt med Argumentationsfel och gärna Whataboutism.

Permalänk
Medlem

Det är därför man i minsta mån vill låta någon ha mer information än vad de behöver. "need to know basis" Tyvärr är den mesta mjukvara förinställd på att dela ALLT.

Visa signatur

*5600|B350M-A|32GB|A750|GX750W|Core V21|280AIO|1TB+2TB.

AMD Ryzen 5(Zen3) @4891|Asus Prime|Corsair 2x16 RGB PRO 3200C16 @3800C18|Intel Arc LE @2740MHz|Seasonic Focus| Thermaltake mATX kub|Arctic freezer II| NVMe SSD PCIE 3.0x2 Kingston A1000 1500/1000 + 2,5" HDD Toshiba 1TB & Samsung 1TB i RAID 0.

Permalänk
Medlem
Skrivet av backfeed:

"Enligt säkerhetsexperten Karl Emil Nikka bör användare vara återhållsamma med hur många tillägg som installeras i webbläsaren."

Nu är jag petig, men antalet tillägg har ingen betydelse i sig, utan vad det är för tillägg. Så jag skulle säga "vilka" och inte "hur många".

Men visst, ju fler tillägg man installerar desto större sannolikhet att en av dem är malware, förstås.

(Samma sak för övrigt när det gäller hur många bakterier det t.ex. finns på ett tangentbord; antalet är ointressant, vilka är det viktiga.)

Njae, det saknas en parameter där. Det viktiga är vilka tillägg man har just nu för tillfället och att man håller sig ajour med förändringar. Ett av dina tillägg kan köpas upp imorgon och du kommer sannolikt automatiskt få tilläggsuppdateringar. Dvs imorgon kan ett av dina "säkra" tillägg vara nedlusat med skräp. Svårt att hålla koll på vilka tillägg som köps upp hit och dit. Ju fler tillägg desto svårare blir det att hålla koll på förändringarna.

Visa signatur

Windows 11 Pro | Intel i7 8700 | ASUS Prime Z370-P | Corsair 16GB 3000MHz | ASUS GTX 1080 | Fractal Design Define S | Corsair RM750x | Hyper 212 EVO

Permalänk
Medlem
Skrivet av loevet:

@Timmy Fox: ja den ursprungliga rapporten är från i somras. Det DN har gjort, och det vi lyfter fram, är att många använt dessa webbläsartillägg månader efter rapporten ursprungligen presenterades. De flesta lär helt enkelt inte varit medvetna om Jadalis rapport, och DN:s artikel belyser det på ett sätt som fler svenskar får upp ögonen för. DN gör problemet mer påtagligt för svenska användare, och då får de också fokus i vår källhänvisning.

Ja ok, då förstår jag bättre!

Permalänk
Medlem
Skrivet av Joppis:

Njae, det saknas en parameter där. Det viktiga är vilka tillägg man har just nu för tillfället och att man håller sig ajour med förändringar. Ett av dina tillägg kan köpas upp imorgon och du kommer sannolikt automatiskt få tilläggsuppdateringar. Dvs imorgon kan ett av dina "säkra" tillägg vara nedlusat med skräp. Svårt att hålla koll på vilka tillägg som köps upp hit och dit. Ju fler tillägg desto svårare blir det att hålla koll på förändringarna.

Absolut. Sen varierar förstås sannolikheten att det ska hända, t.ex. är det inte särskilt troligt att EFF:s tillägg (som HTTPS Everywhere och Privacy Badger) skulle byta ägare.

Visa signatur

5950X, 3090

Permalänk
Medlem

Ett tillägg som bytte ägare, men som vad jag vet ändå är ok, är Ghostery. Just det tillägget är väl dessutom omgärdat av lite kontrovers, även om det mesta verkade bero på missförstånd.

Permalänk

And this, ladies and gentlemen, is why you should have more than one webbrowser.

Visa signatur

Dator: EEE901 N270/ 1GB / 20GB SSD ... Kraftigt nedbantat/tweakat Win7 x86 for speeeEED!
Facebook användare? Hatar tidslinjen? gå med i denna FB-grupp:
Undo Timeline ...med lite tur får h*lvetet ett slut!

Permalänk
Inofficiell ambassadör

Är jag verkligen den enda som kör webbläsaren (i mitt fall Firefox) helt utan tillägg?

Skickades från m.sweclockers.com

Visa signatur

Mobo Aorus B550 Pro V2 CPU Ryzen 5600X RAM Corsair Vengance 16GB @ 36000 MHZ
GPU MSI GTX 1080 ti Gaming X Skärm Acer X34A

Permalänk
Medlem
Skrivet av Xyborg:

Är jag verkligen den enda som kör webbläsaren (i mitt fall Firefox) helt utan tillägg?

Skickades från m.sweclockers.com

Nej, kör inte några tillägg i någon av de webbläsare jag kör.

Permalänk
Medlem
Skrivet av Xyborg:

Är jag verkligen den enda som kör webbläsaren (i mitt fall Firefox) helt utan tillägg?

Skickades från m.sweclockers.com

Nej, jag skulle tro att en majoritet av alla användare kör utan några plugin överhuvudtaget.

Visa signatur

sweclockers prestandaindex

Efter 10 kommer 11.
Efter 99 kommer 100.

Permalänk
Medlem

@Xyborg: Nej, du är absolut inte ensam.

Permalänk
Relik 📜

Just nu kör jag två tillägg, Googles Analytics-plugin för livedata på webbplatser jag "äger" och Lastpass för lösenord. Innan hade jag en hel hög, men har skalat bort nästan alla. Användes knappt, onödigt att de ligger där då.

Visa signatur

För övrigt anser jag att Karthago bör förstöras.
▪ Nöje #1 -> i5-11400F - B560M-ITX/ac - RTX 3070 - 16 GB DDR4
▪ Nöje #2 -> R5 5600 - Prime B450-Plus - RX 6750 XT - 16 GB DDR4
▪ Mobilt -> HP Pavilion Aero - R5 5625U - 16 GB DDR4
▪ Konsol -> Steam Deck, Xbox Series S

Permalänk
Lyxfällan 🎮

Jag har några få i Chrome, inga alls i Firefox/IE Chrome/Safari. Av de jag har i Chrome kommer nästan alla från Google, men jag använder nästan aldrig dessa så kommer nog plocka bort dem också framgent.

Skickades från m.sweclockers.com

Visa signatur

"We're with the press, hired geeks!"
Raoul Duke, Fear n' Loathing in Las Vegas

Permalänk
Medlem

Har inte jättemånga i Firefox själv men ett par stycken ändå som alla används relativt ofta:

- BetterTTV — för Twitch
- Checker Plus for Google Calendar — För att snabbt hålla koll på kalendern
- Dashland — Lösenord
- Enhancer for Youtube — Gör Youtube-hemsidan lite trevligare att använda
- Feedly Notifier — Då jag använder Feedly för allt RSS-relaterat
- Ublock Origin — För sidor som har alldeles för mycket irriterande reklam överallt
- View Image — För att få tillbaka "Visa bild"-knappen i Googles bildsökning.

Permalänk
Medlem

Problemet med artikeln är att den är utformad som om att ALLA tillägg är dåliga och riskabla men talar inte om hur mycket webbläsare "läcker" i normalläge och att det finns tillägg som ser till att täppa till en del av hålen någorlunda.

Själv kör jag:
- Ublock Origin.
- Cookie Auto-Delete.
- NoScript.

Det finns ytterligare ett tillägg som heter "Lightbeam" som är litet kul eftersom det visar grafiskt vilka korsreferenser som går att göra när det gäller ditt surfande.