Ponedeljek, 30. 12. 2024, 16.17
2 dneva, 21 ur
V razširitvah za brskalnik Chrome odkrili vohune, ki lahko ukradejo temeljne podatke
Termometer prikazuje, kako vroč je članek.
Termometer prikaže, kako vroč je članek.
4,79
V podjetju Secure Annex so ob predstavitvi rezultatov preiskave pojasnili, da kampanja manipuliranja z razširitvami za brskalnik Chrome prek lažnega predstavljanja traja najmanj od aprila 2023, mogoče pa je, da še dlje.
Strokovnjaki za informacijsko varnost opozarjajo na že več kot leto dni trajajočo hekersko kampanjo, katere tarče so bile razširitve oziroma vtičniki za Google Chrome, najbolj uporabljan spletni brskalnik. V razširitve so neznani storilci prek izdajanja za tehnično podporo podtaknili zlonamerno kodo, ki lahko žrtvam ukrade izjemno pomembne podatke, kot so piškotki in podatki za prijavo v različne uporabniške račune. Za zdaj je znanih 25 prizadetih razširitev, ki jih uporablja na stotisoče ljudi.
Na problematiko je na božični večer prvo opozorilo podjetje za kibernetsko varnost Cyberhaven, ki je bilo tudi samo žrtev, saj so se neznani hekerji, ki so v njihovo razširitev za brskalnik Chrome podtaknili zlonamerno kodo, lažno predstavljali za njih.
Eden od njihovih zaposlenih je namreč nasedel sporočilu, katerega pošiljatelj se je izdajal za uradno podporo za razvijalce razširitev za brskalnik Google Chrome, in podjetje opozarjal, da njihova razširitev krši pravilnik trgovine z razširitvami.
Zaposlenega v podjetju je na koncu pripravil do tega, da mu je ta podelil zadostne privilegije za dostop, da je lahko v imenu podjetja Cyberhaven v trgovino Google Chrome Web Store objavil lastno predelano različico njihove razširitve.
Kaj lahko kiberkriminalci storijo, če okužijo brskalnik
Ta je po ugotovitvah podjetja Cyberhaven (vir) vsebovala zlonamerno kodo, ki je potencialnim napadalcem omogočala, da so iz brskalnika Google Chrome, ki je imel nameščeno njihovo razširitev, ukradli podatke, kot so piškotki, žetoni za dostop do različnih podatkov, podatki za prijavo v uporabniške račune in druge.
Neznani storilci so se izdajali za uradne predstavnike Googlove tehnične pomoči in razvijalcem razširitev za Chrome grozili, da bodo te umaknjene, če ne bodo ustrezno ukrepali s sledenjem njihovim navodilom.
Ni šlo za osamljen primer
Izkazalo se je, da je bila kompromitirana razširitev za brskalnik Chrome podjetja Cyberhaven le vrh ledene gore.
Podjetje s področja informacijske varnosti Secure Annex, ki se ukvarja z analizo varnosti razširitev za spletne brskalnike, je 27. decembra namreč objavilo rezultate preiskave, ki je razkrinkala več kot dvajset drugih razširitev za brskalnik Chrome, ki so bile zlorabljene na podoben način.
Objavili so tudi celoten seznam. Do zdaj odkrite potencialno nevarne razširitve za Chrome so:
| VPNCity (N) |
| Parrot Talks (N) |
| Uvoice (N) |
| Internxt VPN |
| Bookmark Favicon Changer (N) |
| Castorus |
| Wayin AI (N) |
| Search Copilot AI Assistant for Chrome (N) |
| VidHelper – Video Downloader (N) |
| AI Assistant – ChatGPT and Gemini for Chrome |
| Vidnoz Flex – Video recorder & Video share (N) |
| TinaMind – The GPT-4o-powered AI Assistant! |
| Bard AI chat |
| Reader Mode |
| Primus (prev. PADO) |
| Tackker – online keylogger tool |
| AI Shop Buddy (N) |
| Sort by Oldest (N) |
| Rewards Search Automator (N) |
| Earny – Up to 20% Cash Back (N) |
| ChatGPT Assistant – Smart Search (N) |
| Keyboard History Recorder (N) |
| Email Hunter (N) |
| Visual Effects for Google Meet |
| Cyberhaven security extension V3 |
Iz dokumenta, ki ga je javno objavilo podjetje Secure Annex, je med drugim razvidno tudi, katere razširitve za brskalnik Chrome se še vedno ima za nevarne in jih je smiselno odstraniti. V zgornji tabeli so označene z oznako (N). Preostale so bile ali posodobljene z varno različico ali pa odstranjene iz Googlove trgovine z razširitvami za Chrome.
Nevarnost morda obstaja že več let
V podjetju Secure Annex so ob predstavitvi rezultatov preiskave pojasnili, da kampanja manipuliranja z razširitvami za brskalnik Chrome prek lažnega predstavljanja traja najmanj od aprila 2023, mogoče pa je, da še dlje. Internetni domeni, povezani z zlonamerno kodo, ki je bila odkrita v okuženih razširitvah, sta bili namreč registrirani že v letih 2022 in 2021.
