Google Chrome je nejpoužívanějším internetovým prohlížečem, mimo jiné díky rychlé integraci doplňků od roku 2009. Tyto doplňky však mohou skrývat škodlivý software. Podle webu Ars Technica bylo odhaleno 33 nebezpečných rozšíření, která více než rok shromažďovala citlivá data. K jejich odhalení přispěla služba Cyberheaven, zaměřená na ochranu dat a detekci malwaru. Mezi škodlivými doplňky jsou AI nástroje pro ChatGPT a Barda, VPN služby, stahovače videí i nástroj Keyboard History Recorder.
| Název | Verze | Dostupný | Počet uživatelů |
|---|---|---|---|
| VPNCity | 2.0.1 | FALSE | 10,000 |
| Parrot Talks | 1.16.2 | TRUE | 40,000 |
| Uvoice | 1.0.12 | TRUE | 40,000 |
| Internxt VPN | 1.1.1 | TRUE | 10,000 |
| Bookmark Favicon Changer | 4.00 | TRUE | 40,000 |
| Castorus | 4.40 | TRUE | 50,000 |
| Wayin AI | 0.0.11 | TRUE | 40,000 |
| Search Copilot AI Assistant for Chrome | 1.0.1 | TRUE | 20,000 |
| VidHelper – Video Downloader | 2.2.7 | TRUE | 20,000 |
| AI Assistant – ChatGPT and Gemini for Chrome | 0.1.3 | FALSE | 4,000 |
| TinaMind – The GPT-4o-powered AI Assistant! | 2.13.0 | TRUE | 40,000 |
| Bard AI chat | 1.3.7 | FALSE | 100,000 |
| Reader Mode | 1.5.7 | FALSE | 300,000 |
| Primus (prev. PADO) | 3.18.0 | TRUE | 40,000 |
| Cyberhaven security extension V3 | 24.10.4 | TRUE | 400,000 |
| GraphQL Network Inspector | 2.22.6 | TRUE | 80,000 |
| GPT 4 Summary with OpenAI | 1.4 | FALSE | 10,000 |
| Vidnoz Flex – Video recorder & Video share | 1.0.161 | FALSE | 6,000 |
| YesCaptcha assistant | 1.1.61 | TRUE | 200,000 |
| Proxy SwitchyOmega (V3) | 3.0.2 | TRUE | 10,000 |
Jedním z kompromitovaných rozšíření je tzv. Reader Mode. Další analýza ukázala, že bylo zneužito nejen v rámci útoku zaměřeného na dalších 19 rozšíření, ale také v samostatném útoku, který začal nejpozději v dubnu 2023. Podle Tucknera zdrojem kompromitace je pravděpodobně knihovna kódu, kterou vývojáři používají k monetizaci svých rozšíření. Tato knihovna shromažďuje podrobnosti o každé návštěvě webu, kterou prohlížeč provede. Vývojáři, kteří tuto knihovnu do svých rozšíření začlení, dostávají provizi od tvůrce knihovny.
Další problematická rozšíření tedy jsou:
| Název | Verze | Dostupný | Počet uživatelů |
|---|---|---|---|
| Reader Mode | 1.5.7 | FALSE | 300,000 |
| Tackker – online keylogger tool | 1.3 | TRUE | 10,000 |
| AI Shop Buddy | 2.7.3 | TRUE | 4,000 |
| Sort by Oldest | 1.4.5 | TRUE | 2,000 |
| Rewards Search Automator | 1.4.9 | TRUE | 100,000 |
| Earny – Up to 20% Cash Back | 1.8.1 | TRUE | 100,00 |
| ChatGPT Assistant – Smart Search | 1.1.1 | TRUE | 189 |
| Keyboard History Recorder | 2.3 | TRUE | 5,000 |
| Email Hunter | 1.44 | TRUE | 100,000 |
| Visual Effects for Google Meet | 3.1.3 | TRUE | 900,000 |
| ChatGPT App | 1.3.8 | TRUE | 7,000 |
| Web Mirror | 2.4 | TRUE | 4,000 |
| Hi AI | 1.0.0 | TRUE | 229 |
Kdokoli, kdo používal některé z těchto kompromitovaných rozšíření, by měl vážně zvážit změnu hesel a dalších přihlašovacích údajů.
Tento incident je důraznou připomínkou, jak důležité je dbát na zabezpečení celého počítače a pečlivě vybírat, jaké doplňky a modifikace do aplikací přidáváme.
Každé rozšíření nebo program, který do svého systému přidáme, může být potenciální bránou pro kybernetické útoky. Proto je klíčové omezit instalaci zbytečných doplňků a vždy upřednostňovat oficiální a prověřené zdroje. Zabezpečení není jednorázová záležitost, ale neustálý proces, který vyžaduje naši pozornost a odpovědný přístup.
Aktuálně probíhá i kauza k rozšíření pro Google Chrome (tedy i MS Edge) s názvem Honey, rozšíření mělo vyhledávat slevové kupony, přitom potají měnilo odkazy v e-shopech na tzv. Affiliate linky a autoři rozšíření tak čerpali provize z prodejů.
Zdroje:
- CZ: https://inteligentnisvet.cz/clanky/mame-seznam-33-nebezpecnych-rozsireni-pro-chrome-ihned-je-odstrante
- CZ: https://www.root.cz/clanky/postrehy-z-bezpecnosti-ldapnightmare-a-utok-na-rozsireni-v-chromu/
- https://arstechnica.com/security/2025/01/dozens-of-backdoored-chrome-extensions-discovered-on-2-6-million-devices/
- https://medium.com/extensiontotal/when-chrome-extensions-turn-against-us-the-cyberhaven-breach-and-beyond-9e35e59e1bff
- https://www.extensiontotal.com/cyberhaven-incident-live
- https://infosec.exchange/@WPalant/113744609630895910
