Hlavní navigace

Dávejte si velký pozor na rozšíření, které si pouštíte do prohlížečů

Autor: Microsoft
Daniel Dočekal

Tušíte, že instalace rozšíření pro prohlížeč ve skutečnosti do vašeho počítače dostane plnohodnotné software a může být zásadním bezpečnostním rizikem?

Rozšíření pro prohlížeče jako je Chrome či Firefox vypadají dost nenápadně a neškodně. Málokdo ale tuší, že jsou zásadním bezpečnostním rizikem. Stejně tak málokdo při instalaci rozšíření dává pozor na to, jaká práva si vyžádají. A ještě méně uživatelé ví, že s rozšířeními se do počítače dostává plnohodnotné software, spustitelné, zneužitelné a umožnující dělat věci, které se odehrávají i zcela mimo „bezpečné prostředí prohlížeče“.

Je hodně pravděpodobné, že si z „ověřeného“ zdroje, tedy z „obchodů“ s rozšířeními můžete stáhnout něco, co bude vysoce škodlivé. Případně něco, co na počátku bude dělat, co má, a v škodlivé software se promění někdy později, při nějaké aktualizaci. Ještě hůře můžete dopadnout, pokud si rozšíření stáhnete „někde“ na Internetu.

Poučný příběh najdete například v Malware in the browser: how you might get hacked by a Chrome extension, Maxime Kjaer zde popisuje případ někoho z přátel na Facebooku, na jehož profilu se začaly objevovat podivné nasdílené příspěvky. Ty po kliknutí směřovaly na instalaci rozšíření pro Chrome za účelem „ověření věku“, kde bylo možné narazit na první podezřelou věc, dobrou k zapamatování. Jen výjimečně by měla existovat rozšíření, která si vyžádají možnost čtení a změnu všech vašich dat na webech, které navštívíte.

Podobný požadavek je průvodním příznakem všech škodlivých rozšíření. Potřebují se dostat k vámi zobrazovaným stránkám na Internetu a zasahovat do nich. Nejčastěji zobrazením jiných či dalších inzerátů, ale v dalších případech i aktivním manipulováním s odesílanými informacemi.

Dnes není potřeba do počítače nahrát škodlivý program

Opět málokdo tuší, že rozšíření přidaná do prohlížečů mohou neustále běžet, stačí, aby při instalaci došlo k zaregistrování skriptů, které mají být spuštěné. Právě to se týká i výše zmíněného případu rozšíření pro „ověření věku“. Jeho zkoumáním se dá snadno zjistit, že stahuje z Internetu malware, a tím se dostáváme k dalšímu možnému zásadnímu problému.

Pokud rozšíření získá plný přístup k datům z Internetu, tak si může stahovat cokoliv dalšího. Což dnes v praxi znamená, že stačí, aby postupně zkoušelo jednotlivé zranitelnosti a postupně doplňovalo na vyzkoušení jakékoliv nové, které se objeví.

Ve výše uvedeném případě je stažené malware nejenom rozsáhlé, ale umožňuje počítač ovládat z řídicího serveru – ten posílá škodlivému rozšíření instrukce, co má udělat. Mezi ně patří i to, že získá přístupové údaje na Facebooku (access token, nikoliv přihlašovací údaje), a ty potom může využít pro přístup k účtu na Facebooku. A v zásadě získání těchto údajů je skoro totéž, jako když získá plné přihlašovací údaje.

Získané přístupové údaje jsou poté používány k tomu, že se účet stává fanouškem stránek na Facebooku, přihlašování se k odběru kanálů na YouTube. Ale také k již zmíněnému vkládání příspěvků na napadený účet. Což je hlavně prostředek pro další šíření.

Důležité na tomhle všem je, že dnes už není potřeba přímo do počítače dostat škodlivý program při instalaci rozšíření. Stačí ho stáhnout kdykoliv později. Nemusí to být ani zdaleka přímo program (tedy nějaké to EXE/COM, atd). Škodu dnes lze páchat obyčejným JavaScriptem.

Dá se něčemu takovému bezpečně vyhnout?

Pokud chcete mít jistotu, že nikdy na nic podobného nenarazíte, tak je jediné řešení. Nikdy si žádná rozšíření do prohlížeče nepořizovat. Což není zcela ideální řešení, existuje řada velmi užitečných rozšíření, která v žádném případě hrozbou nejsou.

KL17-nominace

Snížit riziko je možné tím, že si budete bedlivě všímat, co instalujete. Podíváte se na recenze uživatelů (hodnocení), zkusíte si v Google vyhledávání ověřit, zda něco o rozšíření není známo. Pokud po vás bude rozšíření chtít nesmyslně široká práva, tak si nic prostě instalovat nebudete.

Pokud zůstanete u známých a dlouhodobě důvěryhodných rozšíření, riziko je minimální. Pokud se vydáte hledat rozšíření pro chronicky známé věci jako „Jak stáhnout video z YouTube“ nebo „Jak si změnit vzhled Facebooku“, tak je dost jisté, že si velmi rychle naběhnete. 

Našli jste v článku chybu?