Insiden Button Stealer
(anatolyzenkov.com)- Button Stealer adalah ekstensi browser yang “mencuri” dan mengumpulkan tombol satu per satu dari situs web yang dikunjungi pengguna
- Ini lebih mirip alat iseng: cukup gunakan web seperti biasa, maka koleksi tombol akan bertambah secara otomatis
- Produk ini diperkenalkan sebagai ekstensi yang menyenangkan, tidak berguna, dan gratis
- Metrik publik yang ditampilkan mencakup Chrome Web Store 4.9/5, Product Hunt
#3 Product of the Day, dan↑492 Featured Product - Karena berjalan secara lokal dan tidak mengirim data ke luar, data pengguna tetap privat
Cara mengumpulkan tombol situs web
- Button Stealer adalah ekstensi browser yang “mencuri” satu tombol dari situs web yang dibuka pengguna
- Tanpa pengguna perlu melakukan tindakan khusus, koleksi tombol yang dicuri akan bertambah saat mereka beraktivitas online seperti biasa
- Produk ini sendiri diperkenalkan sebagai alat yang menyenangkan, tidak berguna, dan gratis
Badge dan metrik yang dipublikasikan
-
Chrome Web Store
- Rating: 4.9/5
- Menampilkan Featured Badge
-
Product Hunt
#3 Product of the Day↑492 Featured Product
Cara menangani privasi dan instalasi
- Button Stealer berjalan secara lokal
- Karena tidak mengirim data ke mana pun, data pengguna tetap privat
- Halaman tersebut menyediakan tombol instalasi Button Stealer
1 komentar
Komentar Hacker News
Masalah dari ekstensi yang “tidak berbahaya” ini adalah ia jadi menggunakan
host_permissionsdi manifestPada dasarnya ia bisa melakukan apa saja di setiap halaman web yang dikunjungi, dan juga bisa mengeruk data
Dari sudut pandang pengembang ekstensi, saya menolak. Ekstensi seperti ini, yang tidak praktis dan hanya lucu-lucuan, berbahaya kalau meminta izin yang luas
Kalau memeriksa kodenya di GitHub lalu memasang ekstensi secara lokal, risiko masuknya perubahan jahat di kemudian hari bisa dihindari
Kalaupun saya memberi izin akses DOM ke semua halaman yang saya kunjungi, harusnya tidak masalah kalau tidak ada cara untuk mengirimkannya ke luar
Menurut saya pendekatan yang benar adalah memungkinkan adanya fungsi yang diisolasi dari sisa kode, lalu membayar pihak ketiga tepercaya untuk meninjau fungsi tersebut
Dalam kasus ini, fungsi itu hanya boleh 1) mengakses HTML situs web, 2) mencari tombol, dan 3) mengembalikan susunan tombol
Dengan begitu, panduan izin yang ditulis lembaga tepercaya juga bisa akurat, seperti “ekstensi ini mencoba menyalin tombol dari situs web”
Saya ingin menyebut hal seperti ini komputasi DEWISOTT: artinya bekerja persis seperti yang tertulis di luarnya
Selama fungsi itu tidak disentuh, ekstensi boleh diperbarui 1000 kali sehari
Ini terasa seperti email phishing versi aplikasi
Hanya demi sesuatu yang enak dilihat, ia meminta akses ke semua hal di setiap situs web yang dikunjungi
Saya khawatir memasang ekstensi semacam ini
Karena seseorang bisa menawarkan uang besar kepada pengembangnya, membelinya, lalu memakainya untuk tujuan yang kurang menyenangkan
Entah apakah perlu izin tambahan, tetapi setidaknya content script saat ini sudah berjalan untuk “[https:///\](https://*/\)”
Saya penasaran apakah ada alasan khusus memakai API khusus Chrome, bukan WebExtensions API standar
Saya sempat ingin mencoba-coba ekstensi web, tetapi ingin tahu apa saja batasan nyata API standar dibanding API per browser
Firefox kompatibel dengan pemanggilan API
chrome.*yang saya pakai di ekstensi buatan saya sendiriGitHub: https://github.com/anatolyzenkov/button-stealer
Saya melihat kodenya dan tampaknya tidak berbahaya. Namun saya tidak tahu apakah ada cara untuk memverifikasi bahwa kode yang diunggah ke Chrome Extension Store adalah kode yang sama
Ini mengingatkan saya pada tampilan iklan yang diklik di https://adnauseam.io/: https://adnauseam.io/img/adnauseam_vault.png
Masalah modern membutuhkan solusi modern
Saya suka idenya, tetapi izin akses-nya agak menakutkan
Idealnya ini sepertinya bisa dibuat ulang sebagai bookmarklet. Namun karena harus menyimpan potongan HTML tombol ke file, mungkin perlu trik terkait Blob agar bisa diunduh
Dulu saya pernah membuat alat dengan tujuan serupa
Namun yang dicuri bukan tombol, melainkan CSS/SCSS, dan bukan ekstensi melainkan alat CLI. Bisa dicari di GitHub sebagai
coalio/rfscssSaya penasaran apakah ini menyimpan HTML/CSS agar tombol bisa digunakan ulang dengan mudah, atau menyimpannya sebagai gambar
Kalau yang pertama, ini cukup berguna; kalau yang kedua, lucu tetapi mungkin kurang berguna. Kalau berupa gambar, saya juga penasaran seberapa sulit mengekstraknya dari halaman yang menampilkan semua tombol
Kedengarannya seperti cara yang sangat bagus untuk mencari inspirasi desain UI/UX