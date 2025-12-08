Cnews.cz  »  Internet  »  Rozšíření pro Chrome a Edge špehovala miliony uživatelů. V obchodech měla kladné hodnocení i doporučení od Googlu

Rozšíření pro Chrome a Edge špehovala miliony uživatelů. V obchodech měla kladné hodnocení i doporučení od Googlu

Matěj Vlk
Dnes
Logo Google Chrome Autor: Shutterstock / slyellow
V obchodech Googlu a Microsoftu se nacházelo několik velmi škodlivých rozšíření, která sbírala citlivá data o uživatelích. Prošla přitom schvalovacími procesy pro distribuční platformy.

Při instalaci rozšíření do prohlížečů Chrome a Edge z jejich oficiálních obchodů se většina uživatelů spoléhá na recenze a také případné ověření jejich vydavatelů. Oba mechanismy ale dokázala obejít skupina útočníků, kteří skrze Web App Store a Doplňky Edge po sedm let distribuovali malware a spyware. Ten přibalovali k rozšíření, která dosáhla na 4,3 milionů stažení.

Aktualizace s dárkem

Společnost Koi zveřejnila výsledky své práce, při které po dva roky sledovala tuto podvodnou skupinu, kterou nazvali ShadyPanda. V hlavní roli bylo celkem 5 rozšíření pro Google Chrome, které v obchodě získala status Ověřeno a také Vybrané. Zároveň disponovala desítkami tisíc kladných hodnocení a jen málokdo by za takovým rozšířením hledal škodlivý software.

Screenshot podvodného rozšíření

Jedno z podvodných rozšíření

Autor: Koi

Útočníci využili bezprecedentního selhání ověřovacího mechanismu Googlu, který kontroluje bezpečnost rozšíření pouze při jejich prvotním odeslání na distribuční platformu. Pokud tímto ověřením projde, na jeho budoucí aktualizace se již schvalovací mechanismus nevztahuje. Analýza výzkumníků z Koi zmiňuje explicitně rozšíření s názvem WeTab a Clean Master, která byla pravděpodobně největší.

V okamžiku, kdy rozšíření obdržela škodlivou aktualizaci, začala sbírat většinu uživatelských dat, která lze v rámci prohlížeče získat. Nechyběla kompletní historie prohlížení, identifikátory uživatele, kompletní otisk prohlížeče a také http referery, které umožňují snadné trasování pohybu po webu.

Rozšíření také každou minutu kontaktovalo mateřský server, odkud si mohlo kdykoliv stáhnout další kód. Většina serverů byla umístěna v Číně, což se ostatně odrazilo i v pojmenování této skupiny.

Rozšíření využívala i sofistikovanou obrannou techniku, kdy se snažila detekovat jakýkoliv software, který by jej mohl odhalit. Pokud ke spuštění takové aplikace došlo, rozšíření se přepínalo do neškodného režimu a tvářilo se jako legitimní doplněk.

Routery Asus se staly cílem čínského útoku, a to i v Česku. Pokud máte některý z postižených modelů, jednejte okamžitě Přečtěte si také:

Routery Asus se staly cílem čínského útoku, a to i v Česku. Pokud máte některý z postižených modelů, jednejte okamžitě

Na základě této analýzy společnosti Koi odstranily Google i Microsoft všechna podvodná rozšíření ze svých obchodů. Na infikovaných počítačích ale stále zůstávají a nejlepší obranou je instalace posledních verzí prohlížečů Chrome a Edge. Ty se postarají o jejich deaktivaci. Kompletní seznam všech dotčených rozšíření uveřejnila společnost Koi na svém webu. Je jich několik desítek.

Zdroj: Koi

Autor článku

Matěj Vlk

Matěj Vlk

Redaktor portálu Cnews.cz. Zaměřuje se na Windows, související aplikace a jeho ekosystém. Rovněž pokrývá technologické novinky. Profil autora →

