Novinky

  2. Titulní stránka
  3. Novinky
  4. Ověřená rozšíření v Chrome a Edge sledovala miliony uživatelů
Ověřená rozšíření v Chrome a Edge sledovala miliony uživatelů

Ověřená rozšíření v Chrome a Edge sledovala miliony uživatelů

Date: Zobrazení: 32

Obchody Chrome a Edge hostily tzv „zadní vrátka“: Rozšíření s miliony instalací sledovala uživatele bez souhlasu

NEW YORK — Společnost Koi Security odhalila rozsáhlou kybernetickou kampaň, během které více než sto škodlivých rozšíření pro prohlížeče Google Chrome a Microsoft Edge sledovalo a profilovalo uživatele, vytvářelo jedinečné identifikátory a připravovalo podmínky pro útoky s přístupem k API prohlížeče. Některá z těchto rozšíření, včetně těch se statusem „Doporučené“, dosáhla přes 4 miliony stažení a část byla v obchodech dostupná několik let.

Jádrem problému byla rozšíření publikovaná útočníkem pod sledovaným jménem ShadyPanda. Ten nejprve nahrával legitimní nástroje, budoval si důvěru, a poté je škodlivými aktualizacemi proměnil v nástroje pro sledování a vzdálené spouštění kódu. Tento postup zneužil mechanismus automatických aktualizací, který je základním bezpečnostním prvkem těchto platforem.

Image

Skupina nejprve v roce 2023 zveřejnila 20 rozšíření pro Chrome a 125 pro Edge v rámci kampaně zaměřené na affiliate podvody. Rozšíření tiše vkládala sledovací kódy do kliknutí na odkazy velkých e-shopů, jako jsou eBay či Amazon, a generovala tak skryté provize. Zároveň kompletně monitorovala chování uživatelů.

Na začátku roku 2024 však ShadyPanda změnil taktiku. Jeho nová rozšíření, například Infinity V+, již nesloužila jen k pasivnímu sledování. Začala číst soubory cookie uživatelů a odesílat data na externí servery, čímž vytvářela trvalé, jedinečné identifikátory bez vědomí nebo souhlasu. Kód také zachycoval vyhledávací dotazy a v reálném čase profiloval zájmy.

Nejzávažnější fáze přišla v polovině roku 2024, kdy útočník zneužil dříve legitimní rozšíření, včetně Clean Master s více než 300 000 instalacemi, pomocí škodlivé aktualizace. Ta je proměnila v plnohodnotná zadní vrátka. „Nejedná se o malware s pevně danou funkcí. Jsou to „zadní vrátka“. ShadyPanda rozhoduje, co bude dělat. Dnes je to sledování, zítra to může být ransomware,“ uvedl zástupce Koi Security. Rozšíření každou hodinu kontaktovala řídicí servery a mohla na pokyn spustit jakýkoli škodlivý kód.

„Tento případ ukazuje zásadní slabinu důvěry v ekosystém rozšíření. Útočníci systematicky obcházejí kontrolní mechanismy obchodů tím, že nejprve předloží neškodný kód a teprve po získání důvěry a uživatelů zaútočí,“ komentoval situaci bezpečnostní analytik.

Google potvrdil, že identifikovaná škodlivá rozšíření již nejsou k dispozici v Chrome Web Store. Microsoft uvedl, že na základě zjištění odstranil všechna škodlivá rozšíření z obchodu Edge Add-ons, přičemž dodal, že o hrozbě původně nebyl informován a jednal na základě vlastního šetření.

Vývojáři a koncoví uživatelé by si z případu měli odnést jasné ponaučení: ani rozšíření z oficiálních zdrojů s pozitivní historií nejsou imunní vůči zneužití. Jedinou účinnou obranou je pravidelná revize nainstalovaných doplňků a okamžité odstranění těch nepoužívaných nebo s nadměrnými oprávněními.

Zdroj: SecurityWeek.com

Kontakt

Další články

ČlánkyLada

Bezprecedentní DDoS útok odhalil křehkost online světa
ČlánkyLada

Obchody Chrome a Edge hostily tzv „zadní vrátka“: Rozšíření s miliony instalací sledovala uživatele bez souhlasu uživatelů.
ČlánkyLada

Automatické zpracování identifikátorů pro reklamu bez aktivního souhlasu představuje závažné porušení pravidel ePrivacy, za které hrozí vysoké sankce.