3min

Browserextensies bestaan inmiddels al jaren; Chrome, Firefox en Safari maken er gebruik van. Sinds enkele weken ook Microsoft Edge dat is overgestapt op Chromium, dezelfde browserengine als Chrome. Het aantal fraude-, privacy- en beveiligingsrisico’s met browserextensies lijkt ineens erg groot. Zijn browserextensies nog wel veilig te gebruiken?

De afgelopen weken hebben Mozilla en Google actie ondernomen richting verschillende browserextensies. Zowel Firefox als Chrome hebben een rijke database met browserextensies. Bij het toevoegen en updaten van extensies wordt er wel iets van controle toegepast, maar die lijkt minimaal te zijn.

Wat zijn browserextensies?

Browserextenties zijn als het ware mini-applicaties binnen een browser die functionaliteit toevoegen. Veel gebruikte extensies zijn bijvoorbeeld Adblockers, Colorpickers, CRM-integraties, Microsoft Office (Word, Excel, Powerpoint bewerken in je browser), Password Managers, Screenshot-makers en vertalers. Ze voegen een functionaliteit toe binnen één of twee keer klikken. Dit is heel handig, maar als de ontwikkelaars verkeerde bedoelingen heeft ook heel gevaarlijk.

Mozilla verwijderde recent bijna 200 extensies

Zo heeft Mozilla recent bijna 200 verschillende browser extensies verwijderd omdat die “in inbreuk zijn op de door Mozilla gestelde regels”. Van die bijna 200 extensies waren er 129 afkomstig van hetzelfde bedrijf, 2Ring. Volgens Mozilla voerde het code uit op een externe server en dat is tegen het beleid. Er zijn ook andere extensies verwijderd om dezelfde reden. Of omdat ze kwaadaardig gedrag vertonen op bepaalde websites van derde partijen. Ze verzamelen en sturen gebruikersdata bijvoorbeeld door of manipuleren het zoekgedrag van de gebruiker. Er wordt soms gebruikgemaakt van onleesbare code, waardoor de ware aard van de extensie niet is te achterhalen.

Google ziet een piek in frauduleuze transacties met betaalde Chrome-extensies

Bij Google besloot men om het toevoegen en updates van betaalde extensies tijdelijk te blokkeren, omdat er door het beveiligingsteam een enorme piek was gedetecteerd in frauduleuze activiteiten. Deze activiteiten waren gedetecteerd bij betaalde extensies, waarbij je vooraf of maandelijks een bedrag moet betalen om gebruik te mogen maken van de extensie. Deze activiteiten zouden gebruikers uitbuiten.

Inmiddels is deze blokkade al een week actief en heeft Google verder geen nieuws naar buiten gebracht. Bedrijven met betaalde extensies worden inmiddels ongeduldig want zij kunnen hun extensies niet bijwerken en eventuele beveiligingsproblemen oplossen. Zij krijgen op hun beurt weer klachten van klanten dat problemen niet opgelost worden, omdat ze de extensie niet kunnen bijwerken.

Zijn browserextensies wel veilig te gebruiken?

Er is wat onrust ontstaan rond browserextensies en niet geheel onterecht. De controle op de extensies is jarenlang gewoon niet goed genoeg geweest. Hierdoor zijn er extensies toegevoegd die niet voldoen aan de regels en die een risico zijn voor de gebruiker. Browserextensies die statisch werken en geen verbinding maken met externe servers zijn over het algemeen wel veilig. Extensies die verbinding moeten maken met een server om data op te halen zijn gevoeliger, want die kunnen ook ongewild slachtoffer worden van cybercriminelen als de server wordt overgenomen of de domeinnaam gekaapt.

“Als je geen browserextensies nodig hebt dan is het veiligste om ze gewoon helemaal niet te gebruiken.”

Veel endpoint-beveiligingsoplossingen kijken wel naar browserextensies, maar volledige veiligheid kunnen ook zij niet bieden. Het is enorm lastig om browserextensies extern te controleren en te beveiligen, omdat hun gedrag overeenkomt met normaal browsergedrag. De browser zelf is een goedgekeurde applicatie en het openen, laden en versturen van data naar webadressen is normaal gedrag. Het stelen van gebruikersnamen en wachtwoorden of het verzamelen van gebruikersdata is daardoor lastig te detecteren en te blokkeren.

Welke extensies zijn veilig?

Honderd procent veiligheid is niet te garanderen. Uiteindelijk zijn de meeste extensies gewoon veilig. Het is een klein aantal extensies dat de verkeerde intentie heeft. Wat je als vuistregel kan nemen is de wet van de getallen. Extensies die enorm populair zijn en duizenden reviews en miljoenen gebruikers hebben zijn over het algemeen veilig te gebruiken. Die extensies treken aandacht, ook van beveiligingsonderzoekers, en worden beter gecontroleerd. Als er problemen zijn worden ze ook beter onderhouden. Verder kan je goed kijken welke bedrijven de extensies hebben ontwikkeld, extensies van Google en Microsoft zijn over het algemeen wel veilig en worden in elk geval goed onderhouden. Extensies die weinig gebruikt worden of door onbekende bedrijven zijn ontwikkeld kan je beter links laten liggen.

Als je geen browserextensies nodig hebt dan is het veiligste om ze gewoon helemaal niet te gebruiken.