Nebezpečné rozšíření v populárním prohlížeči sleduje desítky milionů uživatelů. Zřejmě jste mezi nimi také

Tým Socket odhalil v oficiálním Chrome Web Store kampaň 108 škodlivých rozšíření, která kradla relace Telegramu, identity Google i texty z překladačů.

Zdroj fotografie: Unsplash

Představte si rozšíření, které dělá přesně to, co slibuje, třeba správu více účtů na Telegramu. Funguje, vypadá legitimně, má hodnocení v obchodě. Jenže každých 15 sekund tiše odesílá kompletní obsah vaší relace Telegram Web na server útočníka. Přesně tak fungovalo dle informací redakce Mobify rozšíření „Telegram Multi-account“, jedno ze 108 položek, které bezpečnostní firma Socket popsala ve svém reportu z 13. dubna 2026. K průniku stačilo jediné nainstalované rozšíření. Heslo ani dvoufaktorové ověření útočník nepotřeboval.

Co přesně rozšíření kradla

Kampaň nebyla jednolitá: různé skupiny rozšíření měly různé úkoly, ale všechny komunikovaly se společnou infrastrukturou na doméně „cloudapi[.]stream“.

• Relace Telegramu (9 rozšíření): Skript běžící na „web.telegram.org“ od okamžiku načtení stránky prozkoumal celý „localStorage“, vytáhl autentizační token „user_auth“ a odesílal data na server. Interval: 15 sekund. Útočník tím získal přístup ke zprávám, kontaktům i navázaným službám, bez hesla, bez 2FA.
• Identita Google (54 rozšíření): Po kliknutí na přihlášení přes Google rozšíření odeslalo e-mail, jméno, profilový obrázek a stabilní identifikátor sub na vzdálený server. Porušení Google API User Data Policy v sekci Limited Use.
• Překladač (minimálně 1 rozšíření): „Text Translation“ přeposílal veškerý překládaný text přes port 8443, přitom si vystačil s oprávněním „sidePanel“, bez nápadných instalačních varování.
• Backdoor při startu prohlížeče (45 rozšíření): Funkce „loadInfo()“ po každém spuštění Chrome odeslala ID rozšíření na server a mohla otevřít libovolné URL v novém tabu. Uživatel nemusel rozšíření vůbec otevřít.
• Odstraňování bezpečnostních hlaviček (5 rozšíření): Aktivně mazala ochranné HTTP hlavičky cílových webů, čímž usnadňovala další útoky.

Proč je krádež relace Telegramu nejnebezpečnější

Rozdíl mezi ukradeným heslem a ukradenou relací je zásadní. Heslo můžete změnit. Aktivní relaci útočník využije okamžitě: vidí vaše zprávy v reálném čase, může psát vaším jménem, má přístup ke všemu, co Telegram Web zobrazuje. A dvoufaktorové ověření nepomůže, protože relace je už autentizovaná.

Socket navíc popsal schopnost rozšíření přepsat „localStorage“ cizí relací a vynutit reload stránky. Prakticky to znamená, že útočník mohl prohlížeč oběti přepnout do jiného účtu na Telegramu, například aby oběť nevědomky potvrdila akci v cizím účtu.

Relace Telegramu zůstávají aktivní, dokud je uživatel explicitně neukončí. Pokud rozšíření běželo měsíce (u některých listingů jsou vidět aktualizace z roku 2025), útočník měl přístup po celou dobu.

Jak si zkontrolovat prohlížeč

Postup zabere dvě minuty:

1. V Chrome otevřete „chrome://extensions“ nebo jděte přes tři tečky → Rozšíření → Spravovat rozšíření.
2. U každého rozšíření klikněte na „Podrobnosti“: uvidíte jeho ID (řetězec písmen v adresním řádku).
3. Porovnejte ID se seznamem v sekci „Indicators of Compromise“ v reportu Socketu. Pokud najdete shodu, rozšíření okamžitě odstraňte.
4. Pokud jste používali jakékoli rozšíření pro Telegram z této kampaně: v mobilní aplikaci Telegram otevřete Nastavení → Zařízení → Ukončit všechny ostatní relace.

Varovné signály u jakéhokoli rozšíření: požadavek na přístup „ke všem webům“, oprávnění cookies nebo „identity“ u nástroje, který přihlášení přes Google zjevně nepotřebuje, a neznámý vývojář s jedním produktem v portfoliu.

Oficiální obchod neznamená bezpečný obchod

Google v programových zásadách Chrome Web Store zakazuje přístup k datům nesouvisejícím s funkcí rozšíření a vyžaduje transparentní zacházení s uživatelskými daty. Tato kampaň obojí porušovala, a přesto rozšíření prošla. Veřejné vysvětlení Googlu, proč 108 položek od pěti propojených vydavatelů nebylo zachyceno, se nám nepodařilo dohledat.

Pro srovnání: incident Cyberhaven z prosince 2024 zasáhl přes 2,6 milionu uživatelů, ale šlo o kompromitaci legitimních rozšíření prostřednictvím škodlivé aktualizace. Tady útočníci vytvořili rozšíření od začátku jako škodlivá, rozprostřeli je do více kategorií a pod více identit, a přesto zůstala v obchodě. Počet instalací (přibližně 20 tisíc) je menší, ale paleta škodlivých funkcí širší.

Microsoft Edge umí instalovat rozšíření přímo z Chrome Web Store, takže riziko se týká i jeho uživatelů. Firefox má explicitně přísnější proces kontroly: vyžaduje přezkoumání zdrojového kódu a zakazuje obfuskaci. Ani on ale není imunní vůči rozšířením s širokými oprávněními.

Kde vede skutečná bezpečnostní hranice

Hranice nevede mezi „oficiálním“ a „neoficiálním“ obchodem. Vede mezi rozšířením, kterému pustíte do prohlížeče minimum dat, a rozšířením, které má přístup ke všemu. Chrome umožňuje u části rozšíření omezit přístup jen na konkrétní web nebo jej aktivovat až po kliknutí, a právě tohle je nejúčinnější obrana, kterou má běžný uživatel k dispozici.

Nejsilnější forenzní stopa celé kampaně není počet 108 rozšíření ani 20 tisíc instalací. Je to 56 různých OAuth client IDs namapovaných jen na dvě Google Cloud project numbers: důkaz, že za pěti zdánlivě nezávislými vývojáři stál jeden operátor s jednotnou infrastrukturou a rusky psanými komentáři ve zdrojovém kódu. Kdo konkrétně, zatím nikdo veřejně neřekl.