Có nên cài extension chongluadao không?
Chào các anh Whitehat, em hiện là sinh viên CNTT nhưng không chuyên bảo mật nên hôm nay mạo muội thỉnh giáo các anh một vấn đề ạ.
Trước tết, trong khi lướt Facebook em thấy trên mạng có giới thiệu một tiện ích tên là ChongLuaDao, theo giới thiệu là mang sứ mệnh khóa và bảo vệ bạn khỏi những trang trên Facebook, Youtube, TikTok, những trang web giả mạo…có chứa mã độc hại, trang giả mạo, lừa đảo và nội dung xấu.
Em nghĩ đây sẽ là một tiện ích có ích cho mọi người. Tuy nhiên, khi tìm hiểu thì có một số vấn đề không ổn nên em vẫn chưa dám cài mong các anh Whitehat cho em lời khuyên.
1 - Đây là một tiện ích mở rộng cho Chrome, Microsoft Edge, Cốc Cốc, Brave, Kiwi Browser, nhưng lại không tải được từ cửa hàng chính thức mà chỉ tải được từ trang chủ.
2 - Điều khoản sử dụng không thực sự rõ ràng, hơn nữa có điều khoản “chúng tôi thu thập, sử dụng và lưu trữ dữ liệu người dùng” như vậy nếu không đọc điều khoản mà sử dụng tiện ích này người cài sẽ mặc định đồng ý bị thu thập, sử dụng dữ liệu?
3 - Vốn tính hay khám phá em có tải tiện ích từ trang chủ để xem thử thì em thấy một số tệp đã bị mã hóa. Em nghĩ đây là tiện ích vì cộng đồng thì không có gì phải mã hóa như vậy, hay có gì bí ẩn ở đây nữa?
4 - Một vấn đề nữa làm em nghi ngờ là khi mới ra mắt tác giả giới thiệu đây là sản phẩm của người Việt, em cũng tự hào lắm. Tuy nhiên ngay sau đó đã có bài bóc phốt tiện ích này dùng mã nguồn mở từ Github: https://github.com/picopalette/phishing-detection-plugin. Khi cộng đồng Facebook bóc phốt, tác giả mới bổ sung vào trang chủ. Chuyện dùng mã nguồn mở là bình thường, nhưng ở đây sử dụng nguồn mở không ghi nguồn trong tiện ích lại còn mã hóa liệu có bất thường?
5 - Tìm hiểu về tác giả, em được biết đây là người đã từng có lí lịch lừa đảo, đánh cắp thông tin hàng triệu người dùng, liệu tác giả sẽ dùng kinh nghiệm lừa đảo để chống lừa đảo hay lại đánh cắp thông tin vào lúc nào đó?
Em có vài điều chưa rõ như trên cũng như không chuyên bảo mật mong các anh có chuyên môn phân tích cho ý kiến. Nếu có gì sai mong ad nhắc nhở đừng ban nick em.
Trước tết, trong khi lướt Facebook em thấy trên mạng có giới thiệu một tiện ích tên là ChongLuaDao, theo giới thiệu là mang sứ mệnh khóa và bảo vệ bạn khỏi những trang trên Facebook, Youtube, TikTok, những trang web giả mạo…có chứa mã độc hại, trang giả mạo, lừa đảo và nội dung xấu.
Em nghĩ đây sẽ là một tiện ích có ích cho mọi người. Tuy nhiên, khi tìm hiểu thì có một số vấn đề không ổn nên em vẫn chưa dám cài mong các anh Whitehat cho em lời khuyên.
1 - Đây là một tiện ích mở rộng cho Chrome, Microsoft Edge, Cốc Cốc, Brave, Kiwi Browser, nhưng lại không tải được từ cửa hàng chính thức mà chỉ tải được từ trang chủ.
2 - Điều khoản sử dụng không thực sự rõ ràng, hơn nữa có điều khoản “chúng tôi thu thập, sử dụng và lưu trữ dữ liệu người dùng” như vậy nếu không đọc điều khoản mà sử dụng tiện ích này người cài sẽ mặc định đồng ý bị thu thập, sử dụng dữ liệu?
3 - Vốn tính hay khám phá em có tải tiện ích từ trang chủ để xem thử thì em thấy một số tệp đã bị mã hóa. Em nghĩ đây là tiện ích vì cộng đồng thì không có gì phải mã hóa như vậy, hay có gì bí ẩn ở đây nữa?
4 - Một vấn đề nữa làm em nghi ngờ là khi mới ra mắt tác giả giới thiệu đây là sản phẩm của người Việt, em cũng tự hào lắm. Tuy nhiên ngay sau đó đã có bài bóc phốt tiện ích này dùng mã nguồn mở từ Github: https://github.com/picopalette/phishing-detection-plugin. Khi cộng đồng Facebook bóc phốt, tác giả mới bổ sung vào trang chủ. Chuyện dùng mã nguồn mở là bình thường, nhưng ở đây sử dụng nguồn mở không ghi nguồn trong tiện ích lại còn mã hóa liệu có bất thường?
5 - Tìm hiểu về tác giả, em được biết đây là người đã từng có lí lịch lừa đảo, đánh cắp thông tin hàng triệu người dùng, liệu tác giả sẽ dùng kinh nghiệm lừa đảo để chống lừa đảo hay lại đánh cắp thông tin vào lúc nào đó?
Em có vài điều chưa rõ như trên cũng như không chuyên bảo mật mong các anh có chuyên môn phân tích cho ý kiến. Nếu có gì sai mong ad nhắc nhở đừng ban nick em.
