Bezpečnostní společnost Socket upozornila na dvě rozšíření vystupující pod názvem Phantom Shuttle. Navenek šlo o nástroje pro práci s proxy servery a testování rychlosti připojení. Cílily především na uživatele v Číně, například pracovníky zahraničního obchodu, kteří potřebují simulovat přístup z různých lokalit. Rozšíření nebyla zdarma a fungovala formou měsíčního předplatného, což jim dodávalo zdání legitimity.

Zdroj: Shutterstock

Jak rozšíření fungovalo ve skutečnosti

Problém nebyl v tom, co doplněk oficiálně nabízel, ale v tom, co dělal navíc. Část internetového provozu uživatelů byla přesměrována přes servery ovládané útočníky. Tím získali možnost zachytávat citlivé informace, od přihlašovacích údajů přes platební data až po osobní informace. Nešlo o náhodný sběr. Rozšíření byla nastavena tak, aby reagovala jen na zhruba 170 konkrétních webových domén s vysokou hodnotou dat, například vývojářské platformy, cloudové konzole, sociální sítě nebo weby s placeným obsahem.

Aby se minimalizovalo riziko odhalení, lokální síťová komunikace a známé řídicí servery byly z tohoto sledování vynechány. Díky tomu mohlo rozšíření fungovat roky bez větší pozornosti. Do obchodu Chrome Web Store se dostalo už v roce 2017 a odstraněno bylo až po aktuálním zjištění výzkumníků.

Proč jsou doplňky dlouhodobým rizikem

Samotné moderní prohlížeče patří mezi relativně bezpečný software. Google Chrome má letos jen minimum potvrzených kritických zranitelností. Slabým místem ale zůstávají doplňky. Ty mají často široká oprávnění, přístup k provozu i obsahu stránek a jejich kontrola je složitější než u jádra prohlížeče.

Případ Phantom Shuttle znovu ukazuje, že ani oficiální obchod není zárukou bezpečí. Uživatelé by měli pravidelně kontrolovat nainstalovaná rozšíření, omezovat jejich počet a věnovat pozornost tomu, jaká oprávnění skutečně potřebují. I zdánlivě užitečný nástroj se totiž může časem proměnit v tichého pozorovatele, který vidí víc, než by měl.