Populární rozšíření pro oblíbené prohlížeče do nich propašovalo virus. Uživatelé zuří, že jim teď vyskakují reklamy
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Miliony lidí si do prohlížeče nainstalovaly doplňky, údajně pro vyšší produktivitu. Po pár měsících zjistili, že sbírá data a sleduje je. Nyní na ně vyskakují otravné reklamy.
Útočník zvaný ShadyPanda šířil několik let přes oficiální internetové obchody rozšíření, která zprvu působila užitečně a bezpečně. Teprve dodatečné aktualizace odhalily, že do milionů prohlížečů potají dopravila škodlivý kód. Redakce Mobify zaznamenala množící se stížnosti uživatelů, že se jim náhle mění vyhledávač, přibývají pop-upy a weby se chovají „jinak“.
Neškodný doplněk se změnil ve sledovací nástroj
Vše začalo nenápadně. Rozšíření do prohlížečů fungovala roky jako běžní pomocníci, například správci karet, nové domovské stránky nebo testy rychlosti internetu. Větší část z nich měla pozitivní recenze a jedno, Clean Master, dokonce získalo ověření od Googlu. V průběhu roku 2024 se však situace zlomila, když autor rozšíření potichu vydal aktualizace, které do nich vložily škodlivý kód.
Již v roce 2023 bylo identifikováno 20 rozšíření v Chrome Web Store a 125 rozšíření pro Microsoft Edge – tehdy se všechna vydávala za tapety nebo aplikace na produktivitu. Redakce Mobify nicméně zjistila, že šla řada rozšíření stáhnout i do dalších internetových prohlížečů.
Aktualizace měly plná oprávnění k manipulaci s prohlížečem. Dokázaly sledovat navštívené stránky, přesměrovávat vyhledávací dotazy přes podezřelé služby a sbírat soubory cookie, tedy drobné údaje, které stránky používají k přihlášení uživatele. Autor by tedy potenciálně mohl převzít účty, měnit výsledky hledání, či vidět historii.
Miliony instalací a roky si nikdo ničeho nevšiml
Jak ukázaly analýzy zabezpečovacích firem, šlo o dlouhotrvající a velice pečlivě řízený útok. Kampaň měla hned několik fází, počínaje nevinnými doplňky, dále neškodným přesměrováním reklam a konče plnohodnotným spywarem, který se každou hodinu hlásil na vzdálený server a stahoval příkazy, popsal theHackerNews.
Na útok bylo těžké přijít, protože útočník virus skryl a nastavil ho tak, aby reagoval na otevření vývojářských nástrojů a okamžitě se přepnul do neškodné verze. Pak vypadal jako běžný kód. Běžný uživatel neměl šanci ho odhalit.
Reklamy, přesměrování vyhledávání, zpomalení
Běžnému uživateli začalo být něco divné až ve chvíli, kdy mu vyskakovaly reklamy na stránkách, kde nikdy dřív nebyly. Vyhledávání se přesměrovávalo na neznámé servery a prohlížeč se zpomaloval při každém otevření nové karty, což samozřejmě lidem drásalo nervy. Proto se začali pídit po tom, co se děje.
Ještě horší však je, že některá rozšíření odesílala data na čínské servery, a to kompletní historii prohlížení, kliknutí myší, a dokonce i informace o tom, jak dlouho se uživatel na stránce zdržel. Jedno z nejrozšířenějších rozšíření, WeTab, mělo přibližně 3 miliony instalací a bylo dlouhou dobu dostupné bez jakéhokoli varování.
Jestliže se vám s prohlížečem ději nějaké podivnosti, doporučuje redakce Mobify ihned odstranit jakékoli rozšíření, které nepotřebujete, nebo ho nepoznáváte podle názvu. Rozšíření je obecně vhodné s pravidelností kontrolovat a ideálně mít jen několik těch základních, známých a dlouhodobě ověřených.
Zdroje
Autorský komentář Lukáše Altmana, Oficiální stránky theHackerNews