«Расширения для браузеров несут в себе большие риски, и эти риски до сих пор не обсуждались», – заявил Уэлч на прошедшей в Риге конференции Baltic Honeybadger.
Он отметил, что браузерные расширения имеют доступ к большому количеству различных данных пользователей. Даже доступ к истории браузера позволяет мошенникам узнать сетевые привычки жертвы и выявить случаи посещения сайтов криптовалютных кошельков и бирж.
«Убедитесь, что вы нигде не засветили свои криптовалютные адреса», – предупредил генеральный директор Casa.
Еще один риск заключается в том, что браузерные расширения воруют персональную информацию пользователей. В качестве примера Уэлч продемонстрировал расширение, которое меняет «обои» в окне браузера. Как оказалось, оно также ворует данные, которые пользователь заносит в различные регистрационные формы, в том числе изображения. То есть, злоумышленники могут получить доступ к фото паспорта, либо других документов пользователя, при этом он и не догадается, что его данные «утекли» в руки хакеров.
«Вроде все хорошо и вы не понимаете, что ваш браузер сливает данные. Ужасно, правда? Ведь все мы постоянно используем различные расширения», – отметил Уэлч.
По его словам, подобное расширение вполне может подменить адрес получателя, когда пользователь куда-то отправляет свои биткоины. Таким образом, злоумышленники могут украсть значительные суммы денег в криптовалютах.
Уэлч отметил, что даже надежное и проверенное расширение может получить внезапное обновление, в котором появятся «незадокументированные функции». При этом простого решения проблемы не существует.
«Нам необходимо обсудить эту проблему, ведь сейчас мы даже не на том этапе, когда случаются реальные атаки с помощью расширений», – заключил он.
Напомним, что в конце августа кастодиальный стартап Casa запустил решение Node Heartbeats, которое проверяет доступность узлов сети Биткоина и вознаграждает их владельцев за регулярное обслуживание.
