Bezpečnostné incidenty pri rozšíreniach pre prehliadač Google Chrome nie sú ojedinelé, no tentoraz ide o rozsiahlu kampaň, ktorú experti označujú za výnimočne nebezpečnú. Hackeri postupovali tak, že prostredníctvom phishingových e-mailov cielili na samotných vývojárov doplnkov. Po kompromitácii vývojárskych účtov pridali do existujúcich, pôvodne neškodných rozšírení, škodlivý kód.
Ten sa potom masovo rozšíril medzi používateľov, ktorí už rozšírenie mali nainštalované, alebo si ho stiahli z obchodu Chrome Web Store v domnienke, že ide o overený a bezpečný doplnok. Táto metóda umožnila útočníkom obísť primárne kontroly, keďže rozšírenia už mali dobrú povesť a mnoho stiahnutí.
V odhalených prípadoch útočníci zbierali prístupové tokeny, prihlasovacie súbory cookies a ďalšie citlivé údaje, často zamerané na marketingové a reklamné platformy. Zo získaných prístupov mohli spravovať cudzie účty, prípadne rozohrávať vlastné kampane na sociálnych sieťach. V najhoršom prípade sa dostali aj k heslám a interným komunikáciám používateľov.
Zoznam infikovaných doplnkov
Podľa výskumníkov trvala kampaň odhadom už od prvej polovice roku 2023, pričom sa identifikovali desiatky rozšírení rôzneho zamerania. Medzi tie, ktoré obsahovali škodlivý kód, patria:
- AI Assistant – ChatGPT and Gemini for Chrome
- Bard AI Chat Extension
- GPT 4 Summary with OpenAI
- Search Copilot AI Assistant for Chrome
- TinaMind AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex Video Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
- Tackker – online keylogger tool
- AI Shop Buddy
- Sort by Oldest
- Rewards Search Automator
- ChatGPT Assistant – Smart Search
- Keyboard History Recorder
- Email Hunter
- Visual Effects for Google Meet
- Earny – Up to 20% Cash Back
Niektoré z týchto doplnkov si mohli používatelia nainštalovať kvôli umelej inteligencii (napríklad pri práci s ChatGPT), iné slúžili na sťahovanie videí alebo na rôzne iné nástroje zjednodušujúce prácu pri prehliadaní webu. Práve táto rozmanitosť – od AI asistentov až po nástroje na upravovanie prostredia Chromu – zapríčinila, že sa do problémov mohli dostať používatelia najrôznejších profilov.
Ako Google a vývojári zareagovali
Spoločnosť Google, keď sa dozvedela o podvrhnutom kóde, pristúpila k rýchlemu odstráneniu alebo aktualizácii infikovaných rozšírení. Niektoré z nich boli dočasne stiahnuté z Chrome Web Store, kým vývojári nevyčistili svoje úložiská a nenahrali bezpečnú verziu.
Odborníci však upozorňujú, že ani takýto krok automaticky neochraňuje všetkých používateľov. Ak sa infikovaná verzia nachádza už na zariadení a nedošlo k žiadnej aktualizácii, môže nebezpečný kód ďalej fungovať. Preto by mal každý používateľ manuálne skontrolovať, či má nainštalovanú najnovšiu neškodnú verziu, alebo rozšírenie radšej úplne odstrániť.
Čo môžu spraviť samotní používatelia
- Skontrolujte si zoznam doplnkov: Prejdite si ich v nastaveniach Chromu a porovnajte s tým, čo už bolo potvrdené ako napadnuté.
- Odstráňte podozrivé alebo neznáme: Ak doplnok nevyužívate dlhodobo alebo ho vo vašom okolí nikto neodporúča, najlepšie je ho zmazať.
- Aktualizujte: Uistite sa, že máte najnovšie verzie rozšírení. Infikované môžu byť medzitým opravené a vyčistené.
- Venujte pozornosť varovaniam: Ak Chrome či antivírus hlási podozrivé správanie, je múdre brať to vážne.
Prečítajte si tiež
Doplnky pre prehliadač Chrome majú často prístup k mnohým citlivým informáciám: heslám, cookies a dokonca aj k databázam používateľa. Vďaka tomu dokážu v pozadí interagovať s webovými aplikáciami, odosielať dôležité dáta alebo sťahovať ďalšie škodlivé skripty.
Ak hackeri prelomia len jediný vývojársky účet, získa sa tak priamy kanál k obrovskému počtu používateľov. Užívatelia pritom nemusia nič podozrievať, pretože rozšírenie je oficiálne v Chrome Web Store a vyzerá ako spoľahlivý, dlhodobo fungujúci produkt.
Dlhodobé dôsledky
Podľa analytikov to opäť otvára diskusiu, či by Google (a iní správcovia obľúbených prehliadačov) nemal zaviesť ešte prísnejšie kontroly aktualizácií doplnkov. V súčasnosti sa spolieha na skenovanie kódu a varovné systémy, no nové obchádzajúce metódy hackerov ukazujú, že kontrolné procesy nie sú neomylné.
Z pohľadu vývojárov zasa vzniká tlak na lepšiu ochranu svojich kont a obozretnejšie nakladanie s prihlasovacími údajmi. V prípade, že vývojársky tím nedostatočne ochráni prístupy, môžu útočníci rýchlo prevziať kontrolu nad celým kódom.
