Godinama ispod radara: Kako su popularne Chrome i Edge ekstenzije tiho pretvorene u alate za masovno praćenje
Milijuni korisnika Chromea i Edgea bili su neprimjetno praćeni gotovo sedam godina, i to putem ekstenzija koje su se na prvi pogled činile potpuno bezaznima. Sigurnosna tvrtka Koi Security razotkrila je sofisticiranu kampanju u kojoj su popularni dodaci za preglednike, nakon dugog razdoblja stjecanja povjerenja, ažuriranjima pretvoreni u zlonamjerni softver za krađu podataka.
Prema izvješću portala The Register, račun pod imenom ShadyPanda još je 2018. godine počeo objavljivati jednostavne i legitimne ekstenzije. U ranim fazama radilo se o klasičnim alatima za produktivnost, bez ikakvog sumnjivog ponašanja. Upravo je ta dugotrajna „čista“ povijest omogućila izgradnju povjerenja korisnika i platformi tijekom više godina. Kako je baza korisnika rasla i broj instalacija se mjerio u milijunima, scenarij se postupno mijenjao. Kroz kasnija ažuriranja, iste te ekstenzije dobile su zlonamjerne funkcije i pretvorile se u alate za nadzor korisničkih aktivnosti. Koi Security je ovu praksu otkrio tijekom interne analize ponašanja softvera u poslovnom okruženju, a potom potvrdio puni opseg incidenta u službenom izvješću.
Posebno zabrinjava činjenica da su se sporne ekstenzije predstavljale kao alati za povećanje produktivnosti, a neke su čak nosile oznake „featured“ i „verified“ u Chrome Web Storeu i Microsoft Edge Add-ons trgovini. Procjenjuje se da je više od 4,3 milijuna korisnika na oba preglednika bilo pogođeno. Među poznatijim primjerima ističe se Clean Master, s više od 200.000 instalacija, kao i WeTab, koji je zajedno s ostalim dodacima istog izdavača dosegao više od 3 milijuna instalacija na Chromeu i Edgeu.
Što su ekstenzije zapravo radile?
Zlonamjerna ažuriranja omogućila su ekstenzijama prikupljanje iznimno detaljnih podataka o korisnicima. To uključuje svaki posjećeni URL, kompletnu povijest pregledavanja, sve upite unesene u tražilice, kao i bilježenje klikova. Uz to, ekstenzije su stvarale detaljne otiske preglednika te pratile kretanje korisnika između web-stranica putem HTTP referrer podataka. Drugim riječima, korisnici su godinama koristili alate koji su u pozadini gradili precizne profile njihovog online ponašanja – bez jasnog upozorenja ili vidljivog znaka da se nešto neobično događa.
Uklonjene iz trgovina, ali ne i s računala
Google i Microsoft potvrdili su da su sporni dodaci uklonjeni iz njihovih službenih trgovina. Ipak, važno je naglasiti da uklanjanje iz trgovine ne znači automatsko uklanjanje s korisničkog preglednika. Ekstenzije koje su već instalirane mogu i dalje ostati aktivne dok ih korisnik ručno ne ukloni. Korisnicima Chromea i Edgea savjetuje se da provjere popis instaliranih dodataka, s posebnom pažnjom na ekstenzije koje je izdao Starlab Technology ili one povezane s WeTabom. Također je preporučljivo ukloniti sve dodatke koji su nepoznati ili se više ne koriste.
Ažuriranje preglednika i dodatni koraci zaštite
Instalacija najnovije verzije Chromea ili Edgea još je jedan važan korak. Novija izdanja preglednika donose poboljšane sigurnosne mehanizme koji mogu prepoznati sumnjivo ponašanje ekstenzija te aktivirati interne liste blokada za dodatke koji su uklonjeni ili označeni kao opasni. Ažuriranje ujedno sprječava učitavanje i keširanje starijih, kompromitiranih verzija ekstenzija. Vrijedi istaknuti i dodatni tehnički detalj: zlonamjerni softver pohranjivao je trajne identifikatore u chrome.storage.sync. Ti jedinstveni identifikatori mogli su pratiti korisnika na više uređaja, pa čak i nakon ponovne instalacije preglednika. Za potpuno čišćenje sustava preporučuje se, nakon deinstalacije spornih ekstenzija, i brisanje podataka sinkronizacije.
Ovaj slučaj još jednom pokazuje koliko dugoročno povjerenje u popularne alate može postati slabost – i za korisnike i za same platforme. Diskretno, bez velikih upozorenja, obične ekstenzije mogu se pretvoriti u ozbiljan sigurnosni problem.
