Rozšíření pro Google Chrome jsou běžnou součástí každodenní práce i zábavy, ale podle rozsáhlé analýzy Cybernews představují také jedno z největších bezpečnostních rizik v online světě.
Z 100 nejpopulárnějších rozšíření jich 86 požaduje při instalaci vysoce riziková oprávnění – a uživatelé mají jen minimální možnost kontroly nad tím, co vlastně rozšíření v jejich prohlížeči dělají.
Jaká oprávnění rozšíření chtějí a proč je to problém?
Většina rozšíření žádá plný přístup ke všem webům, které uživatel navštěvuje, možnost spouštět skripty, číst a upravovat obsah panelů, ukládat data, sledovat historii prohlížení, manipulovat se síťovým provozem nebo přidávat prvky do uživatelského rozhraní.
Chcete dostávat do mailu týdenní přehled článků z Computertrends? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Průměrné rozšíření žádá 6,4 oprávnění, z nichž přes pět je středně nebo vysoce rizikových.
Mezi nejčastější a nejnebezpečnější patří:
- storage (95 rozšíření): ukládání dat, které lze zneužít ke sběru citlivých informací,
- scripting (65): injektování kódu do webových stránek,
- host permissions (60): přístup ke všem doménám a URL, což Google označuje za nejnebezpečnější oprávnění,
- tabs (53): čtení a úprava obsahu i adres v panelech,
- contextMenus (43): přidávání vlastních položek do pravého tlačítka myši,
- cookies (25): přístup, úprava a mazání cookies, což může vést ke krádeži přihlašovacích údajů,
- declarativeNetRequest (17): úprava a přesměrování síťového provozu.
Kombinace těchto práv umožňuje rozšířením (nebo útočníkům, pokud je rozšíření kompromitováno) například sledovat uživatele, krást relace, vkládat reklamy, přesměrovávat provoz nebo dokonce spouštět škodlivý kód.
Problém s transparentností a kontrolou
Uživatelé mají jen dvě možnosti: buď při instalaci souhlasit se všemi požadovanými oprávněními, nebo rozšíření vůbec nepoužít. Na rozdíl od mobilních aplikací neexistuje možnost povolit jen některá oprávnění nebo je zpětně omezit.
Rozšíření navíc často mění vlastníka a s aktualizacemi mohou získat nová, ještě rizikovější práva – bez vědomí uživatele.
Analýza ukázala, že i rozšíření se stejnou funkcí mohou žádat zcela odlišné sady oprávnění. Například dva generátory QR kódů se stejným názvem a popisem – jeden požaduje minimální přístup, druhý chce plnou kontrolu nad prohlížečem. Podobně je tomu v kategoriích AI nástrojů, screenshotovacích doplňků nebo správě e-mailů, kde některá rozšíření žádají desítky práv, jiná jen jedno nebo dvě.
Mezi rozšířeními, která požadují nejvíce oprávnění, jsou například:
- Tampermonkey (18 oprávnění, z toho 7 vysoce rizikových),
- AI New Tab: Calendar, Tasks, ChatGPT (16 oprávnění),
- Checker Plus for Gmail (16 oprávnění),
- Magical AI Agent for Autofill Automation (14 oprávnění),
- Adobe Acrobat PDF edit (14 oprávnění),
- Awesome Screen Recorder Screenshot (14 oprávnění),
- populární adblockery (AdBlock, Ghostery), správci hesel nebo překladače.
Naopak pouze pět rozšíření z analyzované stovky fungovalo s jedním nebo žádným oprávněním.
Skutečné případy zneužití a odstraněná rozšíření
Během výzkumu Google odstranil dvě rozšíření kvůli podezření na škodlivé chování. Jedním z nich bylo Nimble Capture (více než milion instalací), které sloužilo k pořizování a úpravě screenshotů. Uživatelé si na sociálních sítích stěžovali na jeho náhlé zmizení a upozorňovali na varování o malwaru.
Video ke kávě
Máte čas na rychlé a informativní video?
V minulosti byly zneužity i další známé doplňky, například The Great Suspender (po změně majitele obsahoval škodlivý kód), Hover Zoom nebo FairShare Unlock, které kradly historii prohlížení.
Doporučení pro uživatele
Výzkumníci doporučují:
- Instalovat pouze rozšíření od důvěryhodných vývojářů s jasnou politikou ochrany dat,
- pravidelně kontrolovat, jaká oprávnění mají nainstalovaná rozšíření,
- omezit počet rozšíření na minimum a odstraňovat ta, která nejsou nezbytná,
- být obezřetní u rozšíření, která žádají přístup ke skriptům, historii, cookies nebo síťovému provozu,
- nepoužívat rozšíření pro úkoly, které lze snadno zvládnout jinak (například tvorba PDF v Office, čtení QR kódů mobilem).
Rozšíření se synchronizují napříč zařízeními se stejným Google účtem – rizikové rozšíření nainstalované doma tak může ohrozit i firemní počítač. Bezpečnostní experti proto doporučují pravidelné audity rozšíření, používání kvalitního antiviru a maximální obezřetnost při udělování oprávnění.
Chrome rozšíření mohou výrazně rozšířit možnosti prohlížeče, ale bez důkladné správy a kontroly představují reálné riziko pro soukromí i bezpečnost uživatelů.
Computertrends si můžete objednat i jako klasický časopis. Je jediným odborným magazínem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computertrends je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.
PŘEDPLATNÉ
ČLÁNKY DO MAILU