Cảnh giác quyền hạn tiện ích mở rộng: SlowMist Cosine

Vào ngày 15 tháng 3, một chuyên gia từ SlowMist cảnh báo cộng đồng về các vấn đề bảo mật liên quan đến tiện ích mở rộng trình duyệt. Ông nhấn mạnh rằng, nếu một tiện ích muốn thực hiện hành vi độc hại, như đánh cắp cookie, thông tin lưu trữ cục bộ như thông tin phép quyền tài khoản hay khóa cá nhân, can thiệp DOM, chiếm quyền yêu cầu, thâu tóm nội dung clipboard,… thì điều này có thể được cấu hình trong tệp manifest.json. Ngoài ra, nếu người dùng không chú ý đến quyền hạn của tiện ích, sẽ rất phiền phức.

Tuy nhiên, nếu tiện ích muốn tấn công trực tiếp những tiện ích khác, như các tiện ích ví tiền điện tử nổi tiếng, việc này không dễ dàng do môi trường bị cô lập. Ví dụ, trực tiếp đánh cắp thông tin khóa cá nhân hoặc mnemonic từ ví là rất khó khả thi.

Nếu bạn lo lắng về rủi ro quyền hạn của một tiện ích cụ thể, có thể dễ dàng đánh giá mức độ rủi ro này. Sau khi cài đặt tiện ích, có thể không dùng ngay, kiểm tra ID của tiện ích, tìm đường dẫn cục bộ trên máy tính, tìm tệp manifest.json trong thư mục gốc của tiện ích và sử dụng AI để diễn giải nguy cơ quyền hạn.

Nếu có tư duy ngăn cách, người dùng có thể tách biệt sử dụng Chrome Profile cho từng tiện ích mở rộng không quen thuộc. Điều này giúp kiểm soát hành vi độc hại và hầu hết các tiện ích không cần luôn được bật. Nội dung này chỉ cung cấp thông tin thị trường, không phải là lời khuyên đầu tư.

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.