【安全秘笈】瀏覽器擴充工具濫取權限　教你五招避開黑客陷阱

早前 Cyberhaven 遭受針對 Google Chrome 擴充工具的攻擊，黑客利用釣魚電郵竊取員工的 Google 帳戶登入憑證和 sessions token，再借用帳戶發佈含有惡意功能的虛假擴充工具，影響近 40 萬企業客戶。這次入侵事件再次令業界關注瀏覽器擴充工具的安全性，要避免落入黑客陷阱，就要留意五招安全心得。

安全機構 LayerX 發表有關企業員工使用瀏覽器擴充工具的調查報告，指約有 60% 的企業員工都有安裝擴充工具。事實上，這些擴充工具的確有助提升工作效率，例如可以幫助用家糾正拼寫、翻譯資料和記錄備忘事項等。

不過，專家指出擴充工具通常要求用家授予不同的訪問權限，以獲取敏感用家數據，例如 Cookies、登入 token、儲存密碼或瀏覽數據等，有些擴充工具甚至以默認方式取得權限，完全毋須用家主動授權。而根據 LayerX 的數據，便顯示有 66% 的瀏覽器擴充工具被授予了「高」或「關鍵」級別權限，另有 40% 用家為瀏覽器安裝了具有高/關鍵級別權限範圍的擴充工具，情況令人擔憂。

為免企業員工或一般網民安裝了含有惡意功能的擴充工具，專家認為用家在使用或安裝新的擴充工具時，可以留意以下五個使用心得，均可減少「踩雷」機會。

• 只信大品牌：僅信任由大型公司發佈的擴充工具，雖然未必百分百安全，但由於大公司有較多資源監測擴充工具的使用狀況，有效及早發現被惡意使用，降低用家遭受攻擊的風險。

• 只安裝必要的工具：控制瀏覽器擴充工具的數量，雖然不少開發者聲稱其擴充工具有強大方便的效能，但用家必須保持警覺，如非必要便不應貪新鮮安裝使用。
• 做好調查：在安裝擴充工具之前，應檢查其評價和下載次數。如果下載次數或評價稀少，便應避免安裝該擴充工具。
• 檢查更新狀況：檢查擴充工具的最新發佈更新的時間，如久久未見有更新版本，例如在30日內也沒有推出更新，便應懷疑其安全性。而且疏於更新亦代表開發者未必會在發生安全事故時立即堵塞漏洞，變相增加用家的安全風險。
• 細閱權限要求：必須細心查閱擴充工具所要求的權限，評估所要求的權限與其功能是否有關，特別是如無理要求取得鍵盤輸入或網絡鏡頭權限，就應拒絕使用。

另外，亦要定期檢查已安裝擴充工具的權限有否暗中改變，以 Chrome 瀏覽器為例，用家可以在 chrome://extensions 頁面點擊特定擴充工具的詳細資料，查看其所需的權限。如果發現任何可疑之處，就應立即移除保平安。

資料來源：https://www.zdnet.com/article/5-browser-extension-rules-to-live-by-to-keep-your-system-safe-in-2025/