Hlavní navigace

Dávejte si velký pozor na rozšíření, které si pouštíte do prohlížečů

 Autor: Microsoft
Daniel Dočekal 1. 8. 2016

Tušíte, že instalace rozšíření pro prohlížeč ve skutečnosti do vašeho počítače dostane plnohodnotné software a může být zásadním bezpečnostním rizikem?

Rozšíření pro prohlížeče jako je Chrome či Firefox vypadají dost nenápadně a neškodně. Málokdo ale tuší, že jsou zásadním bezpečnostním rizikem. Stejně tak málokdo při instalaci rozšíření dává pozor na to, jaká práva si vyžádají. A ještě méně uživatelé ví, že s rozšířeními se do počítače dostává plnohodnotné software, spustitelné, zneužitelné a umožnující dělat věci, které se odehrávají i zcela mimo „bezpečné prostředí prohlížeče“.

Je hodně pravděpodobné, že si z „ověřeného“ zdroje, tedy z „obchodů“ s rozšířeními můžete stáhnout něco, co bude vysoce škodlivé. Případně něco, co na počátku bude dělat, co má, a v škodlivé software se promění někdy později, při nějaké aktualizaci. Ještě hůře můžete dopadnout, pokud si rozšíření stáhnete „někde“ na Internetu.

Poučný příběh najdete například v Malware in the browser: how you might get hacked by a Chrome extension, Maxime Kjaer zde popisuje případ někoho z přátel na Facebooku, na jehož profilu se začaly objevovat podivné nasdílené příspěvky. Ty po kliknutí směřovaly na instalaci rozšíření pro Chrome za účelem „ověření věku“, kde bylo možné narazit na první podezřelou věc, dobrou k zapamatování. Jen výjimečně by měla existovat rozšíření, která si vyžádají možnost čtení a změnu všech vašich dat na webech, které navštívíte.

Podobný požadavek je průvodním příznakem všech škodlivých rozšíření. Potřebují se dostat k vámi zobrazovaným stránkám na Internetu a zasahovat do nich. Nejčastěji zobrazením jiných či dalších inzerátů, ale v dalších případech i aktivním manipulováním s odesílanými informacemi.

Dnes není potřeba do počítače nahrát škodlivý program

Opět málokdo tuší, že rozšíření přidaná do prohlížečů mohou neustále běžet, stačí, aby při instalaci došlo k zaregistrování skriptů, které mají být spuštěné. Právě to se týká i výše zmíněného případu rozšíření pro „ověření věku“. Jeho zkoumáním se dá snadno zjistit, že stahuje z Internetu malware, a tím se dostáváme k dalšímu možnému zásadnímu problému.

Pokud rozšíření získá plný přístup k datům z Internetu, tak si může stahovat cokoliv dalšího. Což dnes v praxi znamená, že stačí, aby postupně zkoušelo jednotlivé zranitelnosti a postupně doplňovalo na vyzkoušení jakékoliv nové, které se objeví.

Ve výše uvedeném případě je stažené malware nejenom rozsáhlé, ale umožňuje počítač ovládat z řídicího serveru – ten posílá škodlivému rozšíření instrukce, co má udělat. Mezi ně patří i to, že získá přístupové údaje na Facebooku (access token, nikoliv přihlašovací údaje), a ty potom může využít pro přístup k účtu na Facebooku. A v zásadě získání těchto údajů je skoro totéž, jako když získá plné přihlašovací údaje.

Získané přístupové údaje jsou poté používány k tomu, že se účet stává fanouškem stránek na Facebooku, přihlašování se k odběru kanálů na YouTube. Ale také k již zmíněnému vkládání příspěvků na napadený účet. Což je hlavně prostředek pro další šíření.

Důležité na tomhle všem je, že dnes už není potřeba přímo do počítače dostat škodlivý program při instalaci rozšíření. Stačí ho stáhnout kdykoliv později. Nemusí to být ani zdaleka přímo program (tedy nějaké to EXE/COM, atd). Škodu dnes lze páchat obyčejným JavaScriptem.

Dá se něčemu takovému bezpečně vyhnout?

Pokud chcete mít jistotu, že nikdy na nic podobného nenarazíte, tak je jediné řešení. Nikdy si žádná rozšíření do prohlížeče nepořizovat. Což není zcela ideální řešení, existuje řada velmi užitečných rozšíření, která v žádném případě hrozbou nejsou.

MIF16

Snížit riziko je možné tím, že si budete bedlivě všímat, co instalujete. Podíváte se na recenze uživatelů (hodnocení), zkusíte si v Google vyhledávání ověřit, zda něco o rozšíření není známo. Pokud po vás bude rozšíření chtít nesmyslně široká práva, tak si nic prostě instalovat nebudete.

Pokud zůstanete u známých a dlouhodobě důvěryhodných rozšíření, riziko je minimální. Pokud se vydáte hledat rozšíření pro chronicky známé věci jako „Jak stáhnout video z YouTube“ nebo „Jak si změnit vzhled Facebooku“, tak je dost jisté, že si velmi rychle naběhnete. 

Našli jste v článku chybu?
Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují