Ekstensi browser yang tampak tidak berbahaya di permukaan ternyata secara diam-diam mengubah pengguna menjadi bot web scraping, mempengaruhi hampir 1 juta perangkat di seluruh dunia. Penemuan ini telah memicu diskusi intens tentang etika monetisasi ekstensi browser dan efektivitas langkah-langkah keamanan saat ini.
Model Bisnis Tersembunyi di Balik Ekstensi Gratis
Peneliti keamanan John Tuckner mengungkap 245 ekstensi di Chrome, Firefox, dan Edge yang menggabungkan MellowTel-js, sebuah pustaka JavaScript yang dirancang untuk memonetisasi ekstensi melalui web scraping. Ekstensi-ekstensi ini, yang melayani tujuan sah seperti mengelola bookmark atau meningkatkan volume speaker, telah diunduh hampir 909.000 kali. Komunitas telah lama mencurigai praktik semacam ini, dengan orang dalam industri mencatat bahwa jenis perilaku ini bukanlah hal baru.
Ekstensi dan VPN telah melakukan ini selama bertahun-tahun, ini bukan rahasia. Di tempat saya bekerja, kami membayar perusahaan proxy/scraping yang juga menawarkan scraping 'stealth' menggunakan IP residensial.
Monetisasi bekerja dengan menghubungkan browser pengguna ke pelanggan yang membayar yang membutuhkan layanan web scraping. Perusahaan seperti Olostep menggunakan jaringan browser ini untuk menghindari sistem deteksi bot, mengakses situs web melalui browser pengguna nyata alih-alih bot scraping tradisional.
Model Pendapatan MellowTel:
- Pengembang ekstensi menerima: 55% dari pendapatan
- MellowTel mempertahankan: 45% dari pendapatan
- Pelanggan utama: Pengiklan dan layanan web scraping
- Metode: Berbagi bandwidth melalui browser pengguna
Risiko Keamanan di Luar Masalah Privasi
Aspek yang paling mengkhawatirkan bukan hanya penggunaan bandwidth tanpa izin, tetapi bagaimana ekstensi ini melemahkan keamanan browser. MellowTel menghapus header keamanan kritis seperti Content-Security-Policy dan X-Frame-Options dari respons web, membuat pengguna rentan terhadap serangan cross-site scripting yang biasanya akan diblokir. Ini menciptakan ancaman ganda: pengguna menjadi peserta yang tidak sadar dalam operasi scraping komersial sementara browsing mereka sendiri menjadi kurang aman.
Ekstensi juga menyuntikkan iframe tersembunyi ke dalam halaman web, terhubung ke situs web yang tidak dikenal yang ditentukan oleh server jarak jauh. Pengguna tidak memiliki cara untuk mengetahui situs mana yang diakses melalui browser mereka, menciptakan potensi paparan terhadap konten berbahaya.
Header Keamanan yang Dihapus oleh MellowTel:
- Content-Security-Policy (CSP)
- X-Frame-Options
- Header keamanan web server lainnya
- Dampak: Meningkatnya kerentanan terhadap serangan cross-site scripting
Respons Industri dan Tantangan Penegakan
Vendor browser telah kesulitan menegakkan kebijakan mereka sendiri terhadap praktik semacam ini. Kebijakan web store Chrome melarang ekstensi dengan beberapa tujuan, namun ratusan ekstensi ini tetap aktif hingga baru-baru ini. Komunitas telah menyerukan model distribusi yang lebih baik, mirip dengan F-Droid untuk aplikasi Android, yang akan memberikan lebih banyak transparansi tentang perilaku ekstensi.
Upaya penegakan saat ini menunjukkan hasil yang beragam. Dari 245 ekstensi yang teridentifikasi, hanya sebagian kecil yang telah dihapus atau diperbarui untuk menghilangkan pustaka yang bermasalah. Chrome telah melihat 12 dari 45 ekstensi dinonaktifkan, sementara Firefox dan Edge telah menghapus lebih sedikit lagi.
Ekstensi yang Terdampak Berdasarkan Platform Browser:
- Chrome : 45 ekstensi (12 kini tidak aktif)
- Edge : 129 ekstensi (8 kini tidak aktif)
- Firefox : 71 ekstensi (2 kini tidak aktif)
- Total unduhan: Hampir 909.000 di seluruh platform
Implikasi yang Lebih Luas
Insiden ini menyoroti tren yang berkembang di mana perangkat lunak gratis memonetisasi melalui pengumpulan data tersembunyi atau berbagi bandwidth. Praktik ini meluas melampaui ekstensi browser ke VPN, aplikasi mobile, dan perangkat lunak bundel yang secara terbuka mengiklankan cara untuk menghasilkan uang dari bandwidth internet yang tidak terpakai.
Untuk jaringan perusahaan, ekstensi ini menimbulkan risiko khusus dengan melewati kontrol keamanan dan mengakses situs web yang tidak sah. Sifat dinamis dari target scraping berarti bahwa bahkan ekstensi yang bermaksud baik dapat mengekspos jaringan perusahaan pada risiko keamanan yang tidak diketahui.
Penemuan ini berfungsi sebagai pengingat bahwa ekstensi browser gratis sering kali datang dengan biaya tersembunyi, baik dalam privasi, keamanan, atau partisipasi tanpa sadar dalam operasi komersial yang tidak pernah disetujui pengguna untuk didukung.
Referensi: Browser extensions turn nearly 1 million browsers into website-scraping bots