Rozšíření pro internetové prohlížeče běžně slouží ke zlepšení uživatelského komfortu – od správy záložek přes zesilování zvuku až po generování náhodných čísel. Ovšem víc než 240 z nich mělo skrytý úkol: přeměnit váš prohlížeč v nástroj pro automatické sbírání dat z webových stránek. Bez vašeho vědomí. Bez vašeho souhlasu.

Bezpečnostní expert John Tuckner z platformy SecurityAnnex upozornil na znepokojivý trend – 245 doplňků pro Chrome, Firefox i Edge bylo staženo téměř 900 000krát. Všechny přitom sdílejí jednu klíčovou komponentu: knihovnu MellowTel-js. Ta umožňuje vývojářům doplňků monetizovat jejich produkty – ovšem za cenu, že se z uživatele stane pouhé kolečko ve strojku datového scrapingu.

Když se prohlížeč změní v nástroj pro inzerenty

Celý systém funguje tak, že firmy jako Olostep – provozovatel placeného rozhraní pro web scraping – dostávají přesně to, co slibují: přístup k webům bez rizika detekce bota. Klienti jim dodají požadované cílové stránky, a síť rozšíření, která běží na počítačích nevědomých uživatelů, pak daný obsah stáhne.

MellowTel, jako prostředník, aktivuje websocket připojení k serverům Amazon Web Services (AWS), které řídí chování rozšíření. A právě zde přichází zásadní problém – rozšíření dokážou obejít běžné bezpečnostní záhlaví webových serverů, jako jsou Content-Security-Policy či X-Frame-Options, a tím narušují integritu samotného webového prohlížeče.

Zdroj: Shutterstock

Skrytá okna, skryté záměry

Ve chvíli, kdy uživatel načte libovolnou stránku, rozšíření vloží neviditelný iframe, který otevře jiný web – ten, který je právě potřeba pro datový scraping. Uživatel o tom nemá ponětí, nevidí nic podezřelého. A přitom jeho zařízení právě posloužilo k extrakci dat ve prospěch někoho jiného.

Tuckner upozorňuje, že běžná ochrana je narušena pomocí upravených oprávnění – konkrétně declarativeNetRequest, které dovoluje zásahy do síťové komunikace. Knihovna MellowTel aktivně maže bezpečnostní hlavičky v odpovědi serveru – a teoreticky je vrací zpět až po načtení stránky. Tím však už může být pozdě – stránka už byla zranitelná.

Důsledky: Nejen soukromí, ale i bezpečnost v ohrožení

Dopady takového zásahu nejsou pouze teoretické. Vedle soukromí jde i o bezpečnost. Oslabení ochrany prohlížeče otevírá dveře útokům typu cross-site scripting (XSS) nebo clickjacking. A to je problém jak pro běžné uživatele, tak i pro firemní prostředí, kde může porušení bezpečnostních zásad vést k přímému riziku úniku citlivých informací.

Zásadní otázka, kterou Tuckner klade: „Jak je možné, že tohle vůbec prošlo schválením do oficiálních obchodů s doplňky?“ I přesto, že některá rozšíření byla mezitím stažena nebo aktualizována, drtivá většina je stále aktivní. V Chrome zůstává aktivních přes 30 podezřelých doplňků, v Edge více než stovka.

Déjà vu: Historie se opakuje

Případ připomíná podobný skandál z roku 2019, kdy služba Nacho Analytics pomocí rozšíření špehovala uživatele na více než 4 milionech prohlížečů. Tehdy byly sbírány citlivé dokumenty, faktury, videa z bezpečnostních kamer, zdravotní data i interní informace firem jako Tesla, Pfizer nebo Blue Origin. Společnost krátce po odhalení ukončila činnost – ale nezdá se, že by se průmysl z případu poučil.