Popularne, lecz niebezpieczne
W sieci od dawna krąży ostrzeżenie: nie instaluj wtyczek z niepewnych źródeł. Problem w tym, że tym razem mowa o dodatkach dostępnych oficjalnie w Chrome Web Store, często oznaczonych jako zweryfikowane i polecane przez setki pozytywnych opinii. Wśród podejrzanych są narzędzia, które z pozoru wydają się zupełnie nieszkodliwe — od prostych selektorów kolorów i klawiatur emoji po VPN-y do odblokowania popularnych serwisów, wzmacniacze głośności czy prognozy pogody. Badacze z Koi Security, którzy wykryli problem, biją na alarm: spora część tych rozszerzeń to pułapki, które w dyskretny sposób przechwytują adresy stron odwiedzanych przez użytkowników. Działa to w prosty, ale skuteczny sposób — w kodzie ukryto mechanizm, który rejestruje każdy odwiedzany adres URL i natychmiast przesyła go na zdalny serwer. Wraz z unikalnym identyfikatorem śledzenia, co w praktyce pozwala powiązać każdy klik z konkretną osobą. Najbardziej niepokojące jest to, że wiele rozszerzeń zaczynało jako w pełni bezpieczne i rzeczywiście robiły to, co obiecywały. Z czasem jednak – najczęściej przez dyskretne aktualizacje – ich twórcy lub nowi właściciele wprowadzali złośliwy fragment kodu. Dla użytkownika proces był całkowicie niewidoczny — Google automatycznie aktualizuje rozszerzenia, nie wymagając dodatkowych zgód czy potwierdzeń.
Miliony w potrzasku
Według Koi Security skala problemu jest poważna. Łącznie, licząc też wersje tych samych rozszerzeń w sklepie Microsoft Edge, złośliwe dodatki zainstalowało już ponad 2,3 miliona osób. W praktyce oznacza to, że co najmniej tylu użytkowników mogło przez miesiące udostępniać swoją aktywność przeglądarki komuś, kto miał nad tym pełną kontrolę. Co gorsza, mechanizm pozwala nie tylko śledzić odwiedzane strony, ale także przekierowywać użytkowników w dowolne miejsce w sieci. Wystarczy, że serwer zwrotnie odeśle adres — i zamiast na bezpiecznej stronie, przeglądarka otwiera stronę phishingową lub zainfekowaną złośliwym oprogramowaniem. Na razie badacze nie odnotowali masowych przypadków takich przekierowań, ale sam fakt, że rozszerzenia są do tego zdolne, wystarczy, by mówić o jednym z największych przypadków nadużycia w historii dodatków Chrome.
Google po zgłoszeniu zaczął usuwać część szkodliwych rozszerzeń, ale lista wciąż nie jest zamknięta. Niektóre z dodatków nadal można pobrać, co rodzi pytania o skuteczność weryfikacji w Chrome Web Store. Jeszcze bardziej niepokoi fakt, że część dodatków była oznaczona jako zweryfikowane — dla przeciętnego użytkownika to jasny sygnał, że nie ma się czego obawiać.
Co zrobić teraz?
Eksperci nie zostawiają złudzeń — każdy, kto korzystał z rozszerzeń takich jak Geco Colorpick, Volume Max czy darmowe VPN-y do odblokowania TikToka i YouTube’a, powinien jak najszybciej je usunąć. Dodatkowo warto wyczyścić dane przeglądania, co pozwoli pozbyć się resztek identyfikatorów śledzenia. Nie zaszkodzi też dokładnie przeskanować komputer pod kątem innych śladów złośliwego oprogramowania i obserwować konta online — zwłaszcza jeśli gdziekolwiek podawaliśmy wrażliwe dane.
