Jak dlouho probíhalo sledování uživatelů pomocí těchto rozšíření?

Podle analýzy Koi Security probíhalo sbírání dat až po dobu sedmi let. Rozšíření byla publikována od roku 2018 a škodlivé funkce se postupně objevovaly v pozdějších aktualizacích.

Jaký typ dat rozšíření nejčastěji sbírala?

Rozšíření sbírala navštívené URL, historii vyhledávání, interakční údaje jako kliknutí a navigaci na stránkách, a metadata z HTTP referrer hlaviček. Tato data byla pravidelně odesílána na vzdálené servery.

Co mám udělat, pokud mám nainstalované některé z podezřelých rozšíření?

Okamžitě proveďte audit rozšíření, odinstalujte neznámé nebo podezřelé doplňky, vyčistěte synchronizovaná data prohlížeče, aktualizujte prohlížeč a spusťte kontrolu pomocí důvěryhodného antivirového nebo antimalwarového softwaru. Zvažte také změnu hesel pro kritické účty.

Jak lze snížit riziko podobných útoků v budoucnu?

Omezte instalaci rozšíření na ověřené vývojáře, pravidelně revidujte oprávnění rozšíření, používejte blokátory trackerů z důvěryhodných zdrojů a zaveďte firemní zásady pro správu rozšíření. Technické uživatele mohou dále využít analýzy síťového provozu a izolované testování nových doplňků.

Škodlivé rozšíření v Chrome a Edge sbíralo soukromá data

8 Minuty

Po dobu sedmi let se zdánlivě užitečná rozšíření prohlížečů potichu sledovala miliony uživatelů v prohlížečích Chrome a Edge. Bezpečnostní výzkumníci uvádějí, že vývojář proměnil důvěryhodné doplňky ve nástroje pro hromadný sběr dat, které získávaly historii prohlížení, kliknuté odkazy a další citlivé signály.

Jak se užitečné nástroje proměnily ve špionážní nástroje

Podle nové zprávy bezpečnostní firmy Koi Security začal uživatel známý pod jménem ShadyPanda již v roce 2018 nahrávat několik rozšíření, která na první pohled působila nevinně a poskytovala běžné funkce uživatelského komfortu. Zpočátku se chovala jako standardní utilitní pluginy a některá z nich dokonce získala speciální ověření, které uživatele uklidňovalo. S rostoucím počtem instalací však pozdější aktualizace postupně zavedly škodlivý kód, jenž tato rozšíření přeměnil na spyware.

Postižená rozšíření se prezentovala jako nástroje pro správu prohlížeče a dohromady dosáhla více než 4,3 milionu instalací napříč obchody Chrome Web Store a Microsoft Edge Add-ons. Mezi výrazné příklady patří rozšíření Clean Master, které samotné evidovalo přes 200 000 instalací, a WeTab, které přispělo k milionům instalací mezi oběma obchody.

Kontext a postup kompromitace

K útoku došlo podle zprávy postupným nasazováním funkcionalit, které na první pohled vylepšily prostředí uživatele — čisticí funkce, správa záložek nebo přizpůsobení vzhledu. Pozdější verze ovšem obsahovaly skripty, které pravidelně sbíraly telemetrii z aktivních relací. Tento přístup je příkladem tzv. post-release malvertisingu, kdy legitimní rozšíření ztratí svou původní povahu aktualizací, jež přidají škodlivé moduly.

Technické i sociální aspekty důvěry

Fakt, že některá z těchto rozšíření obdržela oficiální ověření nebo měnila popis tak, aby působila důvěryhodně, ukazuje, že ověření obchodu samo o sobě není stoprocentní zárukou bezpečnosti. Uživatelé často spoléhají na počet instalací a recenze jako na hlavní indikátory důvěryhodnosti, což útočník může zneužít. Spolehlivá bezpečnostní strategie proto vyžaduje kombinaci automatických kontrol, manuální revize kódu a ostražitosti koncových uživatelů.

Jaká data byla sbírána

Výzkumníci objevili, že rozšíření průběžně shromažďovala široké spektrum signálů: navštívené URL adresy, historii vyhledávání a detailní interakční data, například kliknutí myší a způsob, jakým uživatelé procházeli stránky, které lze částečně odhadnout z HTTP referrer hlaviček. Tato data byla pravidelně odesílána na neznámé vzdálené servery, což umožňovalo trvalé sledování bez vědomí uživatele.

Detailní typy zachycených informací

Navštívené URL a struktura stránek — kompletní nebo částečné adresy, které umožňují rekonstrukci chování při prohlížení.
Historie vyhledávání — klíčová slova, dotazy a porovnání časových vzorců vyhledávání.
Interakční telemetrie — kliknutí, pořadí akcí na stránce, pohyb kurzoru a navigační postupy, které napomáhají vykreslit uživatelské návyky.
HTTP referer a základní metadata relace — informace z hlaviček, které odhalují původ návštěvnosti a kontext návštěv.

Takto sesbíraná data mohou být anonymizována nebo částečně pseudo-anonymní, ale pokud jsou spojena s dalšími signály (např. přihlašovacími údaji v URL, lokálními identifikátory nebo informacemi ze synchronizace), hrozí reálné deanonymizace uživatelů. Navíc opakované odesílání telemetrie na servery třetích stran umožňuje sledování napříč relacemi a potenciálně i napříč různými zařízeními.

Kam a jak se data posílala

Podle analýzy byly údaje odesílány na různé domény a endpointy, některé registrované anonymně a jiné maskované jako služby pro analýzu. Útočníci často používají mezistupně (proxy, CDN a distribuované servery) k zamaskování skutečného příjemce dat, což ztěžuje stopování a forenzní analýzu. Data byla serializována a odesílána standardními HTTP(S) požadavky, což zajišťovalo kompatibilitu s prohlížeči i skrze firewallové nastavení uživatele.

Dopady na ochranu soukromí a bezpečnost

Systémový sběr takového množství informací má několik následků: možnost profilování uživatele pro cílený marketing nebo podvodné kampaně, zvýšené riziko kompromitace účtů (pokud rozšíření zachytí přihlašovací toky či tokeny) a potenciální prodej dat na černém trhu. Z hlediska kybernetické bezpečnosti jde o hrozbu typu spyware, kde je prioritou exfiltrace dat nad bezprostředním poškozením zařízení.

Co byste měli udělat nyní

Google i Microsoft potvrdily, že škodlivá rozšíření byla odstraněna ze svých obchodů. Odstranění z obchodu však neznamená automatické odinstalování z již infikovaných zařízení. Proto je důležité, abyste podnikli následující kroky sami a systematicky minimalizovali riziko dalšího sledování.

Krátkodobé kroky k okamžitému zabezpečení

Audit rozšíření: Otevřete správce rozšíření v Chrome/Edge a projděte seznam nainstalovaných doplňků. Odinstalujte nebo deaktivujte vše, co neznáte, nepoužíváte pravidelně nebo vypadá podezřele.
Kontrola oprávnění: Rozšíření často požadují široká oprávnění. Omezte rozšíření, která mají přístup k datům na všech stránkách ("přistupovat na všech stránkách").
Aktualizace prohlížeče: Instalujte nejnovější verzi prohlížeče — moderní prohlížeče zahrnují obrany, které mohou identifikovat a deaktivovat škodlivé rozšíření.
Smazání synchronizovaných dat: Pokud používáte synchronizaci účtu (sync), vymažte synchronizovaná data a odhlaste se, poté se znovu přihlaste až po dokončení prohlídky.
Kontrola aktivity: Sledujte podezřelé přesměrování, nový toolbar, neobvyklé reklamy nebo odchylky ve chování prohlížeče. Při přetrvávajících problémech spusťte kontrolu pomocí důvěryhodného bezpečnostního softwaru.

Doporučená dlouhodobá opatření

Pro dlouhodobé snížení rizika implementujte následující postupy soukromí a bezpečnosti:

Omezte instalace rozšíření na známé a ověřené vývojáře — méně je často více.
Pravidelně revidujte nainstalovaná rozšíření a práva, která mají.
Využívejte bezpečnostní nástroje a rozšíření, která minimalizují sledování (např. blokátory trackerů a skriptů), ale instalujte je opatrně a z oficiálních zdrojů.
Zvažte využití více profilů prohlížeče (např. oddělení pracovních a osobních účtů), abyste minimalizovali rozsah dat dostupných jednomu rozšíření.
Pro firmy: zaveďte centrální politiku správy rozšíření a whitelistování v rámci firemních profilů prohlížeče.

Jak rozpoznat potenciálně škodlivé rozšíření

Následující indikátory mohou signalizovat, že rozšíření není bezpečné:

Neznámý nebo anonymní vývojář bez historie a podpory.
Neobvyklá a nadměrná oprávnění (přístup na všechna data na navštívených webech).
Náhlé změny funkcionality po aktualizacích — například pokud doplněk začne odesílat data nebo vloží externí skripty.
Velký nárůst množství odesílaných síťových požadavků v době, kdy doplněk vykonává zdánlivě jednoduché úkoly.

Pokud zaznamenáte jeden nebo více z těchto příznaků, okamžitě rozšíření deaktivujte a proveďte hloubkovou kontrolu systému.

Technické doporučení pro pokročilé uživatele a správce sítí

Pro technicky zdatné uživatele a administrátory existují další možnosti, jak snížit riziko a identifikovat kompromitované rozšíření:

Analýza síťového provozu: Sledování odchozích požadavků pomocí nástrojů jako Wireshark, Fiddler nebo integrovaných proxy a inspect logů může odhalit neobvyklé exfiltrační toky.
Statická a dynamická analýza kódu: Rozbalení balíčku rozšíření (.crx, manifeste) a revize JavaScriptu může odhalit skryté funkce nebo kontaktní body pro exfiltraci.
Sandboxing a testování: Testujte neznámá rozšíření v izolovaném profilu nebo virtuálním prostředí, abyste minimalizovali dopad na primární systém.
Politiky a školicí programy: Firemní prostředí by mělo obsahovat jasné postupy pro instalaci rozšíření a pravidelné školení zaměstnanců o bezpečnostních rizicích rozšíření prohlížeče.

Právní a etické aspekty

Masivní sběr dat bez vědomého souhlasu uživatelů může mít i právní důsledky, zejména v jurisdikcích s přísnými pravidly ochrany osobních údajů (např. GDPR v EU). Organizace, které provozují obchody s rozšířeními nebo hostují data, mohou být také vystaveny odpovědnosti, pokud nezajistí adekvátní kontrolní mechanismy. Z tohoto důvodu je důležité incidenty hlásit příslušným orgánům a úložištím, aby bylo možné dostupnost malwaru minimalizovat a zamezit dalšímu šíření.

Závěrem

Tento případ připomíná, že i zdánlivě důvěryhodná rozšíření prohlížeče mohou postupem času představovat bezpečnostní riziko. Kombinace pečlivého výběru rozšíření, pravidelné kontroly oprávnění, aktualizovaného prohlížeče a základních rutinních bezpečnostních opatření výrazně sníží pravděpodobnost expozice. Buďte ostražití při instalaci doplňků, pravidelně revidujte jejich chování a v případě podezření podnikněte kroky popsané výše. Ochrana soukromí a kybernetická bezpečnost jdou ruku v ruce — jejich udržování vyžaduje aktivní přístup uživatelů i správců systémů.

Zdroj: smarti

Škodlivé rozšíření v Chrome a Edge sbíralo soukromá data

Jak se užitečné nástroje proměnily ve špionážní nástroje

Kontext a postup kompromitace

Technické i sociální aspekty důvěry

Jaká data byla sbírána

Detailní typy zachycených informací

Kam a jak se data posílala

Dopady na ochranu soukromí a bezpečnost

Co byste měli udělat nyní

Krátkodobé kroky k okamžitému zabezpečení

Doporučená dlouhodobá opatření

Jak rozpoznat potenciálně škodlivé rozšíření

Technické doporučení pro pokročilé uživatele a správce sítí

Právní a etické aspekty

Závěrem

Zanechte komentář

Komentáře

Související příspěvky

Austrálie zakázala sociální sítě pro mladší 16 let; Dělá to i Česká?

Konec Microsoft Lens: jak zálohovat skeny a najít náhradu

Zvýšení cen paměti u Framework: dopady a volby

Cowork: Claude Code pro každodenní kancelářskou produktivitu

UCP: Nová vrstva pro agentní obchodování a e-commerce

Xiaomi 17 Max — 8 000 mAh a rychlé nabíjení pro vlajkové

Xiaomi 17 Air: odvážný experiment ultra tenkého telefonu

Samsung Watch8 a Watch8 Classic: nová generace Wear OS

Xiaomi s integrovaným ventilátorem: revoluce chlazení mobilů

X nahradil emoji íránské vlajky symbolem Lev a Slunce

Huawei Pura 90 Ultra: 200MP teleobjektiv a testy 2026

OnePlus 16: Návrat Pro nebo Ultra? Úniky a analýza