Vylepšení Chromu tajně kradou přihlašovací údaje. Jsou propracovaná a zůstávají bez povšimnutí

Lukáš Altman
Lukáš Altman
Profil autora
698 článků

Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.

Zdánlivě nevinná rozšíření pro Google Chrome slibují lepší připojení a testování sítě, ale ve skutečnosti mohou uživatelům nenápadně a tiše krást ta nejcitlivější data.

Internetový prohlížeč Chrome na Androidu

Škodlivá rozšíření prohlížečů nejsou žádnou novinkou. Redakce Mobify ostatně už psala o viru propašovaném do rozšíření prohlížeče, který uživatelům cpal reklamy. Nynější případ je ale unikátní svou propracovaností a dobou, po kterou zůstal bez povšimnutí. Dvě rozšíření pro Chrome vydávaná za nástroj pro testování rychlosti a VPN službu ve skutečnosti fungují jako špionážní nástroj.

Dvě rozšíření byla zamaskovaná za jiné nástroje

Bezpečnostní výzkumníci odhalili dvě rozšíření se stejným názvem Phantom Shuttle, vydaná stejným vývojářem, jenom v různých letech. Jedna verze byla publikována už v roce 2017, druhá v roce 2023. Dohromady je používaly tisíce uživatelů, kteří věřili, že si instalují legitimní nástroj pro testování sítě nebo VPN.

Uživatelé navíc za službu ještě platili předplatné v rozmezí 9,9 až 95,9 čínských jüanů, což je přibližně 30 až 300 korun. Právě to, že se jednalo o placené modely, vytvářelo dojem důvěryhodnosti a profesionality, vysvětluje theHackerNews.

Útočníci vše viděli a mohli na to reagovat

Když si uživatel rozšíření zaplatil, získal tzv. VIP status a automaticky se mu aktivoval speciální proxy režim. Proxy server (zjednodušeně prostředník mezi vaším PC a klientem, vysvětluje Wikipedia) přesměrovával provoz přes servery ovládané útočníky. To útočníkům umožnilo fungovat jako man-in-the-middle (MitM), tedy někdo, kdo vidí a může měnit veškerou komunikaci.

Rozšíření využívalo upravené JavaScriptové knihovny, například „jquery-1.12.2.min.js“, do kterých byl vložený škodlivý kód. Ten pak automaticky reagoval na jakoukoli žádost o přihlášení na stránkách a aniž by o tom uživatel věděl, vkládal pevně dané přihlašovací údaje do různých formulářů, které byly k dispozici. Podle odborníků mohli útočníci získat:

  • přihlašovací jména a hesla
  • čísla platebních karet
  • autentizační cookies (umožňují přihlášení bez hesla)
  • historii prohlížení a data z formulářů
  • API klíče a přístupové tokeny (kritické hlavně pro vývojáře)

Seznam sledovaných domén obsahoval přes 170 známých webů, kupříkladu GitHub, Amazon Web Services, ale i sociální sítě, nebo dokonce stránky s obsahem pro dospělé. Právě poslední zmíněné mohly snadno sloužit jako nástroj k vydírání obětí.

Rozšíření pochází nejspíše z Číny

Aby toho nebylo málo, útočníci ještě každých 5 minut odesílali tzv. „heartbeat“ zprávy na řídicí server, které obsahovaly třeba e-mail, heslo a další metadata uživatele v prostém textu. Stopy pravděpodobně vedou do Číny. Nasvědčuje tomu jazyk popisu, platební metody Alipay a WeChat Pay i využití Alibaba Cloudu. Identita autorů ale zůstává neznámá.

Důrazně uživatelům doporučujeme podezřelá rozšíření ihned odstranit, změnit všechna hesla a nejlépe zapnout dvoufaktorové ověřování. Firmy by měly zavést seznam povolených rozšíření a sledovat, která mají oprávnění k proxy nebo síťovému provozu.

Zdroje

Autorský komentář Lukáše Altmana, Oficiální stránky theHackerNews

Líbí se vám tento článek? Tak pojďte diskutovat.

Diskuze 0

Copyright © 2016-2024 abcMedia Network, s.r.o.
Obsah je chráněn autorským právem. Jakékoli užití včetně publikování nebo jiného šíření obsahu je bez písemného souhlasu zakázáno.