Hlavní navigace

Dávejte si velký pozor na rozšíření, které si pouštíte do prohlížečů

 Autor: Microsoft
Daniel Dočekal 1. 8. 2016

Tušíte, že instalace rozšíření pro prohlížeč ve skutečnosti do vašeho počítače dostane plnohodnotné software a může být zásadním bezpečnostním rizikem?

Rozšíření pro prohlížeče jako je Chrome či Firefox vypadají dost nenápadně a neškodně. Málokdo ale tuší, že jsou zásadním bezpečnostním rizikem. Stejně tak málokdo při instalaci rozšíření dává pozor na to, jaká práva si vyžádají. A ještě méně uživatelé ví, že s rozšířeními se do počítače dostává plnohodnotné software, spustitelné, zneužitelné a umožnující dělat věci, které se odehrávají i zcela mimo „bezpečné prostředí prohlížeče“.

Je hodně pravděpodobné, že si z „ověřeného“ zdroje, tedy z „obchodů“ s rozšířeními můžete stáhnout něco, co bude vysoce škodlivé. Případně něco, co na počátku bude dělat, co má, a v škodlivé software se promění někdy později, při nějaké aktualizaci. Ještě hůře můžete dopadnout, pokud si rozšíření stáhnete „někde“ na Internetu.

Poučný příběh najdete například v Malware in the browser: how you might get hacked by a Chrome extension, Maxime Kjaer zde popisuje případ někoho z přátel na Facebooku, na jehož profilu se začaly objevovat podivné nasdílené příspěvky. Ty po kliknutí směřovaly na instalaci rozšíření pro Chrome za účelem „ověření věku“, kde bylo možné narazit na první podezřelou věc, dobrou k zapamatování. Jen výjimečně by měla existovat rozšíření, která si vyžádají možnost čtení a změnu všech vašich dat na webech, které navštívíte.

Podobný požadavek je průvodním příznakem všech škodlivých rozšíření. Potřebují se dostat k vámi zobrazovaným stránkám na Internetu a zasahovat do nich. Nejčastěji zobrazením jiných či dalších inzerátů, ale v dalších případech i aktivním manipulováním s odesílanými informacemi.

Dnes není potřeba do počítače nahrát škodlivý program

Opět málokdo tuší, že rozšíření přidaná do prohlížečů mohou neustále běžet, stačí, aby při instalaci došlo k zaregistrování skriptů, které mají být spuštěné. Právě to se týká i výše zmíněného případu rozšíření pro „ověření věku“. Jeho zkoumáním se dá snadno zjistit, že stahuje z Internetu malware, a tím se dostáváme k dalšímu možnému zásadnímu problému.

Pokud rozšíření získá plný přístup k datům z Internetu, tak si může stahovat cokoliv dalšího. Což dnes v praxi znamená, že stačí, aby postupně zkoušelo jednotlivé zranitelnosti a postupně doplňovalo na vyzkoušení jakékoliv nové, které se objeví.

Ve výše uvedeném případě je stažené malware nejenom rozsáhlé, ale umožňuje počítač ovládat z řídicího serveru – ten posílá škodlivému rozšíření instrukce, co má udělat. Mezi ně patří i to, že získá přístupové údaje na Facebooku (access token, nikoliv přihlašovací údaje), a ty potom může využít pro přístup k účtu na Facebooku. A v zásadě získání těchto údajů je skoro totéž, jako když získá plné přihlašovací údaje.

Získané přístupové údaje jsou poté používány k tomu, že se účet stává fanouškem stránek na Facebooku, přihlašování se k odběru kanálů na YouTube. Ale také k již zmíněnému vkládání příspěvků na napadený účet. Což je hlavně prostředek pro další šíření.

Důležité na tomhle všem je, že dnes už není potřeba přímo do počítače dostat škodlivý program při instalaci rozšíření. Stačí ho stáhnout kdykoliv později. Nemusí to být ani zdaleka přímo program (tedy nějaké to EXE/COM, atd). Škodu dnes lze páchat obyčejným JavaScriptem.

Dá se něčemu takovému bezpečně vyhnout?

Pokud chcete mít jistotu, že nikdy na nic podobného nenarazíte, tak je jediné řešení. Nikdy si žádná rozšíření do prohlížeče nepořizovat. Což není zcela ideální řešení, existuje řada velmi užitečných rozšíření, která v žádném případě hrozbou nejsou.

Snížit riziko je možné tím, že si budete bedlivě všímat, co instalujete. Podíváte se na recenze uživatelů (hodnocení), zkusíte si v Google vyhledávání ověřit, zda něco o rozšíření není známo. Pokud po vás bude rozšíření chtít nesmyslně široká práva, tak si nic prostě instalovat nebudete.

Pokud zůstanete u známých a dlouhodobě důvěryhodných rozšíření, riziko je minimální. Pokud se vydáte hledat rozšíření pro chronicky známé věci jako „Jak stáhnout video z YouTube“ nebo „Jak si změnit vzhled Facebooku“, tak je dost jisté, že si velmi rychle naběhnete. 

Našli jste v článku chybu?

2. 8. 2016 22:51

Co může udělat?

Třeba změnit číslo bankovního účtu (či bitcoinovou adresu) na www stránce či v mailu zobrazeném ve webmailu. Takže místo e-shopu pošlete své peníze hackerům.

Nebo odposlechnout a odeslat hackerům heslo k některé službě, když se přihlašujete. Totéž může udělat s číslem vaší kreditní karty, když s ní platíte v e-shopu.

Nebo vám zašifrovat data v /home a chtít výkupné v bitcoinech.

Nebo se zúčastnit DDos útoku.


Zapomeňte na to, že viry potřebují získat roota. Nepotřebují ho. …

2. 8. 2016 10:27

Martin Šoch (neregistrovaný)

To je samé "DÁVEJTE SI POZOR"!

Přitom je to naprostá blbost! Ani velmi znalý IT genius nedokáže obsáhnout všechna rizika.

Řada zlých lidí obesílá autory existujících rozšíření s finančními nabídkami na odkup, aby poté přes automatické aktualizace zavirovaly stávající uživatele.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu