Jak często zdarza się Wam zainstalować dodatek do przeglądarki WWW? Jak wiele ich macie? Jak często... zastanawiacie się, jakie im dajecie uprawnienia? Jak się domyślacie, takie pytania nie padają bez przyczyny :) Bo przecież taki dodatek to tak naprawdę mała aplikacja, instalowana w przeglądarce. Kto z Was w ten sposób do tego podchodzi, instalując rozszerzenia?
Dziwna strona w Rosji
Wszystko zaczęło się od wykrycia przez systemy bezpieczeństwa w sieci korporacyjnej Orange pewnej anomalii. Nasze firmowe proxy zanotowało nagle sporą liczbę połączeń do pewnej strony w domenie .ru, z zachowaniem identycznego schematu:
https://dziwna_strona.ru/?http://portalpasazera.pl
https://dziwna_strona.ru/?http://bilet.intercity.pl
i tak dalej, z różnymi usługowymi polskimi stronami WWW po symbolu "?".
Analiza wykazała, że użytkownik tego samego dnia zainstalował rozszerzenie Speed Dial. Według opisu, miało ono usprawniać działanie przeglądarki, poprawić jej estetykę (kolory, ikony, etc.) i - hmmm - "dodać kilka funkcji"...
Mam nieodparte wrażenie, że ani niedoszła ofiara nie spodziewała się, jak i autor rozszerzenia "zapomniał napomknąć", że wśród owych "kilku funkcji", cechujących dodatek do przeglądarki znajduje się również wykonywanie w tle screenshotów pulpitu i wysyłanie ich na wymieniony wcześniej, publicznie dostępny serwer. Co było celem autora dodatku? Tego nie wiemy, na pierwszy rzut - hmmm, mózgu? - nie wydaje się, by na screenshotach mogło znaleźć się coś podejrzanego. Być może złośliwe rozszerzenie (ściągnięte zaledwie przez ok. 6 tysięcy osób) zostało niepoprawnie skonfigurowane, bowiem dzień później zniknęło ze sklepu Firefoxa. Możliwe też, że był to efekt związanych z nim zgłoszeń, w tym rzecz jasna z naszego CERTu.
A przecież ostrzegał...
Ponieważ każda edukacyjna opowieść musi mieć morał, przyszła na niego pora :) Ryzyka związanego ze Speed Dial można było bardzo łatwo uniknąć.
Kto z Was zwraca uwagę na jakiś taki mały żółty pasek? A kto się nim przejmuje? Mam nadzieję, że większość z Was powiedziała głośno przed monitorem: "No jasne, że ja!", ale niestety - jak widać - przynajmniej 6 tysięcy internautów niekoniecznie uznało to za problem. Inna sprawa, że przy tego typu ostrzeżeniach zgoda, świadome kliknięcie: "Tak, jestem świadom ryzyka", powinna być warunkiem instalacji!
Nawet jednak jeśli ktoś tego nie zauważył, czerwona lampka powinna zapalić mu się po raz kolejny:
Jak dla mnie to nieco zbyt wiele i nawet biorąc pod uwagę, że rozszerzenie miało "usprawniać przeglądarkę"... Hmmm, wolałbym mieć mniej sprawną.
Gdy przyjrzymy się "sklepom" z dodatkami do przeglądarek, można dojść do wniosku, że stawiany przez lata za "wzór" Stajni Augiasza Google Play wygląda przy nich jak sala operacyjna przed zabiegiem. Pamiętajcie - jeśli już zdecydujecie się na instalację rozszerzenia:
- upewnijcie się, czy kolejny dodatek do przeglądarki jest Wam potrzebny
- potem zróbcie to raz jeszcze
- sprawdźcie jego autora, liczbę ściągnięć pliku i opinie internautów
- obowiązkowo przeczytajcie, jakich uprawnień żąda
- jeśli macie jakiekolwiek wątpliwości - poszukajcie innego, bardziej zaufanego, rozszerzenia tego typu
No chyba, że chcecie znaleźć swoje dane na publicznym serwerze w Rosji - absolutnie nie zamierzam odbierać Wam do tego prawa :)
Piotr Domański 
Michał Rosiak 
Marta Krajewska 
Komentarze
Fajnie ?☺
OdpowiedzBędzie ostro ? Zajrzę i ja ?
OdpowiedzTo już mam zaczynać zapisywać pytania? 😉 potem kopiuj wklej 🙂 ?
OdpowiedzFajnie ?☺
OdpowiedzBędzie ostro ? Zajrzę i ja ?
OdpowiedzTo już mam zaczynać zapisywać pytania? 😉 potem kopiuj wklej 🙂 ?
OdpowiedzNie mam zamiaru rejestrować się na jakimś forum, więc zapytam tutaj: Czemu tak ostro potraktowaliście klientów wprowadzając podwyżkę za RWK bonusu? Czemu osoby mało korzystające z internetu mają sponsorować wam 5G?
OdpowiedzTo decyzja biznesowa. Orange Polska cały czas inwestuje – w sieć mobilną, światłowód, w przyszłości w 5G. Dzięki tym inwestycjom teraz i w przyszłości będziesz mógł się cieszyć lepszymi usługami w przyszłości.
OdpowiedzDzięki za odpowiedź. Jak napisałem, wiem że inwestycje w 5G itd. Ale uderzacie w klientów mało korzystających z internetu mobilnego, bo to dla nich głównie jest usługa RWK bonusu. Pomijając oczywiście przypadki chomikujących terabajty na koncie, to i tak mówimy o osobach które mało korzystają z waszej infrastruktury. Może rozważcie propozycję progresywnych cen – im ktoś więcej korzysta to logicznie – płaci więcej. Jeśli ja wykorzystuje w porywach kilkanaście GB rocznie, to likwidacja RWK bonusu (bo tym jest podwyżka), nie spowoduje, że zacznę kupować u was jakieś drogie pakiety internetu.
OdpowiedzNie mam zamiaru rejestrować się na jakimś forum, więc zapytam tutaj: Czemu tak ostro potraktowaliście klientów wprowadzając podwyżkę za RWK bonusu? Czemu osoby mało korzystające z internetu mają sponsorować wam 5G?
OdpowiedzTo decyzja biznesowa. Orange Polska cały czas inwestuje – w sieć mobilną, światłowód, w przyszłości w 5G. Dzięki tym inwestycjom teraz i w przyszłości będziesz mógł się cieszyć lepszymi usługami w przyszłości.
OdpowiedzDzięki za odpowiedź. Jak napisałem, wiem że inwestycje w 5G itd. Ale uderzacie w klientów mało korzystających z internetu mobilnego, bo to dla nich głównie jest usługa RWK bonusu. Pomijając oczywiście przypadki chomikujących terabajty na koncie, to i tak mówimy o osobach które mało korzystają z waszej infrastruktury. Może rozważcie propozycję progresywnych cen – im ktoś więcej korzysta to logicznie – płaci więcej. Jeśli ja wykorzystuje w porywach kilkanaście GB rocznie, to likwidacja RWK bonusu (bo tym jest podwyżka), nie spowoduje, że zacznę kupować u was jakieś drogie pakiety internetu.
Odpowiedzzostanie mi tylko czytać. 🙂 na konto muszę czekać 48 godzin 😛 a szkoda, szkoda.
Odpowiedzzostanie mi tylko czytać. 🙂 na konto muszę czekać 48 godzin 😛 a szkoda, szkoda.
OdpowiedzKurde znowu lament podwyżki ok fakt z tym przedłużeniem bonusu internetu przesada ale wszytko bez limitu i 30gb neta to mało za 30 zł? Która sieć wam da 30gb i bez limitu za 30zl? Już nie mówić o usłudze skarbonka 10% procent doładowania dla większości z nas za starz lub za 360 zł rocznie no limit i 1 terabajt neta czyli ok ponad 80 GB miesięcznie za 30 zł a nawet nie ładują za 200 i 100 dostajemy odpowiednio 30zl i 10 z automatu czyli 40 zł do tego skarbonka za doładowanie 100 dostajemy 10 zł za 200 20zl czyli razem 70 zł za same doladonie wychodzi 290 zł faktycznie koszt pakietu na rok no limit która sieć da tyle lub więcej? Orange wychodzi najtaniej takie są fakty. Dla tych co lantuja niech wezmą kalkulator do ręki i policzyć można i zobaczy gdzie jest drogo.
OdpowiedzMasz 100%ową rację jeśli chodzi o nolimit i gdy ktoś dużo korzysta. Ale RWK bonusu jest skierowane do kompletnie innego klienta. Mnie nie interesuje 30GB miesięcznie, bo z tego zużyje maks. 1-2GB. RKW bonusu i nolimit to są kompletnie dwie różne oferty skierowane do różnych grup odbiorców. Usprawiedliwianie podwyżki w RWK tym, że nolimit jest tani, jest głupie.
OdpowiedzKurde znowu lament podwyżki ok fakt z tym przedłużeniem bonusu internetu przesada ale wszytko bez limitu i 30gb neta to mało za 30 zł? Która sieć wam da 30gb i bez limitu za 30zl? Już nie mówić o usłudze skarbonka 10% procent doładowania dla większości z nas za starz lub za 360 zł rocznie no limit i 1 terabajt neta czyli ok ponad 80 GB miesięcznie za 30 zł a nawet nie ładują za 200 i 100 dostajemy odpowiednio 30zl i 10 z automatu czyli 40 zł do tego skarbonka za doładowanie 100 dostajemy 10 zł za 200 20zl czyli razem 70 zł za same doladonie wychodzi 290 zł faktycznie koszt pakietu na rok no limit która sieć da tyle lub więcej? Orange wychodzi najtaniej takie są fakty. Dla tych co lantuja niech wezmą kalkulator do ręki i policzyć można i zobaczy gdzie jest drogo.
OdpowiedzMasz 100%ową rację jeśli chodzi o nolimit i gdy ktoś dużo korzysta. Ale RWK bonusu jest skierowane do kompletnie innego klienta. Mnie nie interesuje 30GB miesięcznie, bo z tego zużyje maks. 1-2GB. RKW bonusu i nolimit to są kompletnie dwie różne oferty skierowane do różnych grup odbiorców. Usprawiedliwianie podwyżki w RWK tym, że nolimit jest tani, jest głupie.
Odpowiedz