什么是浏览器扩展程序呢？

如果没有扩展程序的话，浏览器就只是一个孤立的应用程序而已。而浏览器扩展程序则能够丰富我们的网络浏览体验，提供从拼写检查到密码管理等各种实用功能。

我们经常需要浏览器扩展程序来浏览网页。许多网站也需要插件才能正常运行。Teams也依赖这些扩展程序来实现通过浏览器进行协作的功能。虽然扩展程序非常方便且功能强大，但它们也有潜在的风险。恶意扩展程序可能会窃取数据、植入恶意软件，甚至发起针对整个网络的攻击。

本文将探讨浏览器扩展的功能原理、为什么我们需要它们，以及它们如何带来安全风险。最后，我们将介绍一些使用浏览器扩展时的最佳实践，以帮助用户安全地利用这些扩展带来的好处。

浏览器扩展的定义

浏览器扩展程序是……一种能够为网页浏览器添加功能的应用程序。这些插件也被称为扩展程序，它们通过访问浏览器的API来提供各种服务。这些服务包括阻止广告、检查文本内容、存储密码以及处理图像等。

不过，并非所有的浏览器扩展都是安全的。有些扩展的界面看起来很合法，但实际上隐藏着严重的威胁。恶意扩展通常会针对特定的浏览器进行攻击。

• 跨站脚本攻击（XSS）。向网页中注入有害代码，以窃取数据或引导用户访问其他网站。
• 浏览器中的人（Man-in-the-Browser，MitB）.拦截网络流量，以窃取用户凭据或执行未经授权的操作。
• 数据泄露/窃取行为。将浏览历史记录、Cookie或认证信息发送到外部服务器
• 内容操控。改变网站的展示方式，以误导用户或插入广告。
• 键盘记录。记录用户按键操作，以捕获诸如密码这类敏感信息。

这些威胁需要强大的工具来检测和阻止那些不安全的扩展程序，同时仍然允许使用可信的插件。

浏览器扩展是如何工作的呢？

单独来看，网页浏览器通常并不具备日常工作中所需的全部功能。而安装到的扩展程序则可以为用户提供这些功能。定制他们的体验同时，还可以为浏览器添加一些实用的功能。

扩展程序使用CSS、HTML或JavaScript来实现与网页组件及浏览器的兼容性。用户可以在浏览器应用程序中安装这些扩展程序。之后，用户会授权扩展程序通过其应用程序编程接口来访问浏览器的各种功能。

内容脚本可以修改网页的内容，在用户看到这些内容之前就对其进行拦截处理。此外，这些脚本还可以保存数据，或者改变浏览器标签页中的内容。虽然扩展程序可能会创建弹出式用户界面或专门的网站来定制其功能，但它们通常会在后台以不可见的方式运行。

Chrome Web Store和Mozilla插件平台是浏览器扩展程序最大的分发渠道。这些平台会检查插件中是否存在恶意内容。不过，你也可以通过许多第三方仓库来获取未经检查的扩展程序，甚至可以通过钓鱼邮件来获取这些扩展程序。

浏览器扩展功能是用来做什么的？

扩展程序是互联网世界中非常重要的一部分。Google Chrome应用商店中大约有14万个扩展程序，而Firefox浏览器则拥有3.6万个扩展程序。

最常用的扩展功能都是为个人用户设计的。插件可以帮助我们控制网页上的内容，比如阻止弹出窗口或提取网站中的图片。网站所有者也利用这些扩展功能来为访问者提供更多的价值。例如，某个扩展功能可以让用户自定义网站的样式和内容，或者去除那些不需要的内容，比如弹出广告。

扩展功能同样起着至关重要的作用。专业领域/职业环境网页设计师和程序员会使用浏览器扩展程序来编辑页面布局以及进行调试工作。此外，许多公司还会使用诸如LastPass这样的密码管理器或威胁检测工具来保障网络安全性。

像Evernote和Grammarly这样的生产力工具，通过浏览器API来建议如何编辑电子邮件或从网页中提取数据。许多客户关系管理工具也使用扩展程序来将网络浏览器与企业系统连接起来。

鉴于这些众多的功能，在企业网络中，可能有数百个扩展模块处于活动状态。安全团队必须在用户体验和商业需求与安全性之间找到平衡。他们需要检查已安装的扩展程序，以发现是否存在恶意软件或漏洞。

常见的浏览器扩展安全风险

浏览器扩展程序并非无害，因此需要对其进行密切监控。

与不安全浏览器扩展相关的安全风险包括：

• 恶意软件感染.这些扩展程序会直接被安装到浏览器中。这可能会让攻击者获取用户的浏览历史记录和网络访问信息。犯罪分子会设计出看似真实的扩展程序，以诱使用户授予过多的权限。不过，这种情况其实并不罕见。这个被篡改的插件实际上隐藏了恶意软件的载荷。该应用程序利用这些权限来收集数据，或者向连接的设备传播恶意软件。
• 成就/功绩如果合法扩展的编码方式不当，那么它们也可能带来安全风险。这些扩展可能包含一些潜在的安全隐患。成就/功绩这为广大机会主义威胁行为者提供了可乘之机。如果许多网络用户都安装了该扩展程序，那么风险就会进一步增加。在这种情况下，攻击很快就会在网络资源中扩散开来。
• 数据被盗。这些扩展程序也可以在用户或开发者不知情的情况下窃取数据。例如，在2024年的Cyberhaven攻击中，那些冒充Google的诈骗者试图将这款网络安全应用程序从Chrome应用商店中移除。开发者同意将虚假的应用程序版本上传到应用商店，结果导致260万用户的数据被泄露。
• 电子邮件存在安全隐患。这些扩展程序还可能窃取电子邮件数据，并监控用户的通信内容。例如，在2022年，研究人员发现了一个名为SHARPEXT的恶意程序。该程序通过钓鱼邮件的方式被悄悄安装到用户的设备中，然后持续窃取Web邮箱中的数据，直到用户手动将其删除为止。
• 广告程序的传播方式。广告软件感染是恶意扩展程序最常见的后果之一。攻击者会部署诸如WebSearch这样的虚假扩展程序，这些程序会跟踪用户的操作行为，并弹出针对性的广告窗口。广告软件虽然会让人感到烦恼，但它们也可能窃取用户的机密信息，然后将这些信息用于其他网络攻击中。
• 品牌伪装行为。扩展程序会给数字企业带来声誉风险。例如，一些恶意开发者利用Facebook来传播虚假的ChatGPT扩展程序，从而窃取用户的Cookie和其他浏览数据。那些使用扩展程序来接触客户的企业必须确保自己的产品是安全的，并尽快清除这些恶意程序。

管理与恶意扩展相关的风险的最佳实践

恶意浏览器扩展会暴露用户的浏览行为，从而让不想要的广告得以出现，同时也会使敏感数据面临风险。幸运的是，有一些方法可以安全地使用浏览器扩展，同时又能确保用户体验和安全性得到保障。

以下的最佳实践可以帮助您保护浏览器，确保敏感信息的安全：

请只从可信的来源下载浏览器扩展程序。

大多数必要的扩展程序都可以在 Chrome 网络商店或 Mozilla 的软件库中找到。如果找不到这些扩展程序，那么软件供应商通常会通过他们的企业网站来提供这些扩展程序。尽可能使用这些可靠的下载来源来获取所需的扩展程序。

不过，即使是Chrome应用商店也并非完全安全。有时，列表中会出现被伪造的扩展程序。为了防范潜在的威胁，请保持警惕。检查是否存在多个名称相似的扩展名。

许多版本都存在问题。请务必确认自己下载的是正确的版本。如果不确定，请向该扩展程序的供应商咨询一下。

请仔细查看下载过程中的反馈信息。

这些扩展程序的下载网站通常会提供用户评价和评分的栏目。用户的反馈能够为我们提供关于潜在骗局或存在漏洞的浏览器扩展程序的重要信息。在下载文件时，务必仔细检查是否有大量负面评价。

不过，大量的积极反馈并不一定是好事。那些试图制造威胁的攻击者通常会为虚假的扩展程序给出五星评价，同时附上虚假的反馈信息。

请仔细阅读隐私政策，以了解浏览器所允许的权限范围。

所有的浏览器扩展程序都需要获得访问数据和浏览器功能的权限。这些权限应该只与扩展程序所需的 기능相关，但实际上并非总是如此。恶意扩展程序会请求对敏感数据的广泛访问权限，或者访问与它们所声称的功能毫无关系的服务，比如网络邮件服务。

请通过以下方式来确认您所授予的权限是否正确：请仔细阅读该网站的隐私政策。该信息应该包含在下载列表或安装过程中。如果缺少相关的隐私信息，请不要将该工具添加到已安装的扩展程序中。

请尽可能减少浏览器扩展的数量。

添加额外的浏览器扩展程序会增加网络安全风险。你安装的每一个插件都可能被恶意利用或存在安全问题。随着时间的推移，这些漏洞可能会逐渐显现出来，从而让原本安全的扩展程序变成安全隐患。此外，过多的扩展程序还会降低浏览器的运行速度。

必须严格限制对关键业务工具的扩展行为。在安装附加组件时，请思考一下它究竟如何提升了你的工作流程。如果你不需要这个附加组件的话，那就不要去安装它了。

集中管理已安装的扩展功能

企业可以通过集中式的浏览器管理方式来大幅降低与扩展程序相关的风险。企业级浏览器可以在所有工作站上运行，这使得管理员能够实施严格的安全政策。

管理员可以只允许使用经过批准的扩展程序，或者默认禁止所有扩展程序的运行。他们还可以将下载权限限制在一小部分可信的插件上。这样一来，所有的下载行为都会被记录下来，从而帮助团队在用户安装可疑程序时迅速做出反应。

安全团队可以将规则推送到每一个终端设备上，从而实现统一的防御机制。这些策略能够防止数据泄露，阻止未经授权的扩展行为，从而降低发生重大网络攻击的可能性。

结论：在所有网络终端上，都应减少浏览器扩展带来的风险。

浏览器扩展程序确实提供了许多有用的功能，但它们也会让网络面临各种网络威胁。恶意软件感染、漏洞利用以及数据被盗都是使用不安全的扩展程序时常见的后果。

为了降低这些风险，企业应使用具有内置控制功能的浏览器，以便对扩展程序进行管理。这样的设置可以确保政策的统一执行，同时也能严格控制用户能够安装哪些应用程序。

有了明确的规则和集中的管理工具，企业就可以减少风险，确保敏感数据的安全，同时还能在每一个终端设备上保持强大的网络韧性。