Technologie

Skrytá rizika používání bezplatných rozšíření v prohlížeči, která mohou krást vaše hesla

57 roky ago

Proč jsou bezplatná rozšíření pro útočníky tak lákavá

Rozšíření do prohlížeče mají výjimečné postavení: vidí do obsahu webových stránek, mohou číst a měnit data na navštívených webech a často pracují s přihlášením uživatele. Právě proto jsou pro kybernetické útočníky atraktivním cílem. Pokud si uživatel nainstaluje doplněk, který má oprávnění „číst a měnit data na všech webech“, dává mu tím v praxi velmi široký přístup k tomu, co na internetu dělá.

Bezplatný model navíc často znamená, že vývojáři vydělávají jinak než přímým prodejem. Někdy jde o legitimní reklamu nebo prémiové funkce, jindy o sběr dat, affiliate přesměrování, prodej analytiky třetím stranám nebo o pozdější prodej celého rozšíření. Bezpečnostní firmy opakovaně upozorňují, že i dříve důvěryhodná rozšíření mohou být po změně vlastníka nebo po aktualizaci zneužita. Uživatel přitom často nic nepozná, protože doplněk dál funguje „normálně“.

Jak může rozšíření krást hesla a přihlašovací údaje

Nejčastější cesta nevede přes přímé „vylomení“ hesla, ale přes odposlech toho, co uživatel zadává do formulářů. Rozšíření s dostatečnými oprávněními může číst obsah stránky, zachytit text v přihlašovacím poli, sledovat přesměrování nebo do stránky vložit vlastní skript. V praxi to znamená, že útočník může získat e-mail, heslo, tokeny pro přihlášení i další citlivá data, například údaje z platebních formulářů.

Typický scénář je jednoduchý: uživatel si nainstaluje doplněk na úpravu PDF, překlad, slevové kupóny nebo stahování videí. Rozšíření má přístup k webům, které navštěvuje. Po čase jeho aktualizace přidá škodlivý kód, který začne sledovat formuláře. Tato metoda je nebezpečná i proto, že bezpečnostní kontrola při instalaci bývá minimální a změna se může objevit až později.

Podle bezpečnostních incidentů z posledních let se pravidelně objevují případy doplňků, které měly desítky tisíc až miliony instalací, než byly odstraněny z oficiálních obchodů. To ukazuje, že samotné umístění v Chrome Web Store nebo Microsoft Edge Add-ons není zárukou naprosté bezpečnosti.

Na jaká varovná znamení si dát pozor před instalací

Největší chybou bývá instalace podle prvního výsledku ve vyhledávání nebo podle počtu stažení. Ten může být snadno uměle navýšený. Důležitější je kombinace několika signálů, které napoví, zda je rozšíření důvěryhodné.

  • Podezřelá oprávnění: doplněk na jednoduchou funkci žádá přístup ke všem webům, historii, schránce nebo stahování souborů.
  • Nejasný vývojář: chybí web, kontakt, obchodní identita nebo historie dalších aplikací.
  • Krátké a obecné recenze: mnoho recenzí v podobném stylu, bez konkrétních zkušeností.
  • Časté změny názvu a popisu: mohou naznačovat snahu obejít negativní hodnocení.
  • Velmi malé množství informací o ochraně dat: chybí zásady zpracování údajů nebo jsou napsané vágně.

Praktické pravidlo zní: pokud rozšíření slibuje jednu konkrétní funkci, ale vyžaduje široký přístup k datům, je vhodné zpozornět. Například jednoduchý nástroj na změnu vzhledu webu by neměl potřebovat přístup k přihlašovacím údajům, bankovním stránkám ani k celé historii prohlížení.

Jak bezpečně kontrolovat rozšíření v Chromu, Edge i Firefoxu

Bezpečnost rozšíření se dá výrazně zlepšit několika rychlými kroky. U běžného uživatele stačí pět minut kontroly, u firemního prostředí je vhodné nastavit pravidelný audit. První krok je otevřít seznam nainstalovaných doplňků a odstranit vše, co není aktivně používané. Podle statistik správy zařízení bývá až třetina rozšíření v prohlížečích dlouhodobě nevyužívaná, přesto má stále oprávnění k datům.

Další krok je kontrola oprávnění. V Chromu a Edge lze u každého rozšíření zobrazit přístup k webům a nastavit režim „pouze na kliknutí“ nebo povolit přístup jen na vybraných stránkách. Ve Firefoxu je vhodné sledovat, zda doplněk skutečně potřebuje přístup ke všem stránkám, nebo jen k jedné službě. U citlivých webů, jako je internetové bankovnictví, e-mail nebo firemní CRM, je dobré mít pravidlo, že se tam rozšíření vůbec nepoužívají.

Velmi užitečný je také přístup „méně je více“. Jeden nástroj na blokování reklam, jeden na správu hesel a jeden na práci s produktivitou často stačí. Každý další doplněk znamená další potenciální riziko. V praxi se doporučuje držet počet rozšíření co nejníže a každé tři měsíce provést revizi.

Co dělat, když uživatel nebo firma podezřelé rozšíření nainstalovali

Pokud se objeví podezření, že rozšíření sbírá citlivá data, je důležité jednat rychle. Nejprve je vhodné rozšíření okamžitě vypnout nebo odstranit. Poté je nutné změnit hesla k účtům, ke kterým se uživatel přihlašoval v době aktivního doplňku. Změna hesla by měla proběhnout z důvěryhodného zařízení a ideálně po vyčištění prohlížeče.

U účtů, které podporují vícefaktorové ověření, je vhodné zapnout MFA nebo znovu ověřit všechna přihlášená zařízení. V některých případech je nutné odhlásit všechny relace, protože útočník mohl získat i přístupový token. To je důležité zejména u e-mailu, cloudových úložišť, sociálních sítí a firemních systémů.

Firmy by měly mít postup incident response i pro prohlížečová rozšíření. Prakticky to znamená: evidovat povolené doplňky, blokovat instalaci mimo schválený seznam a pravidelně kontrolovat zařízení pomocí MDM nebo nástrojů pro správu endpointů. V prostředí Windows a Google Workspace lze nastavit zásady, které zabrání instalaci neautorizovaných doplňků nebo povolí jen ty, které prošly interním schválením.

Jaké nástroje a návyky skutečně pomáhají

Pro běžné uživatele jsou nejúčinnější tři vrstvy ochrany: správce hesel, dvoufaktorové ověření a minimální počet rozšíření. Správce hesel pomůže, protože citlivé údaje se nevyplňují ručně a škodlivý doplněk tak nemá co jednoduše odchytit. Dvoufaktorové ověření zase snižuje dopad situace, kdy přihlašovací údaje přece jen uniknou.

Užitečné jsou i bezpečnostní doplňky zaměřené na reputaci webů nebo ochranu proti phishingu, ale i tady platí, že je nutné vybírat obezřetně. Doporučuje se preferovat nástroje od známých firem, které mají jasné zásady ochrany dat, dlouhou historii a pravidelné aktualizace. Před instalací je vhodné zkontrolovat datum poslední aktualizace, počet aktivních uživatelů a to, zda vývojář reaguje na nahlášené problémy.

Pro firmy a správce webů je důležité také vzdělávání zaměstnanců. Lidé často instalují doplňky kvůli jednorázové potřebě, například kvůli práci s PDF, videem nebo správou obsahu. Bez jasných pravidel se z jednoho „dočasného“ rozšíření může stát dlouhodobé riziko. Proto je vhodné zavést jednoduchou politiku: každé nové rozšíření musí mít odůvodnění, schválení a kontrolu oprávnění. U citlivých týmů, jako je finance, HR nebo správa webu, je rozumné povolit jen předem schválený seznam doplňků.

Bezplatná rozšíření nejsou sama o sobě nebezpečná, ale jejich přístup k datům z nich dělá jednu z nejcitlivějších částí běžného surfování. Kdo je používá bez kontroly oprávnění a bez pravidelné revize, otevírá útočníkům cestu k účtům, firemním datům i soukromým informacím.

Podobné články

Technologie

Co je to technologie DLSS a FSR a jak dokážou zvýšit plynulost her bez ztráty kvality obrazu

57 roky ago
Technologie

Jak nastavit domácí počítač pro bezpečný vzdálený přístup z práce nebo z cest

57 roky ago
Technologie

Nejčastější chyby při instalaci operačního systému na nový NVMe SSD disk

57 roky ago
Technologie

Jak správně nakonfigurovat herní router pro minimální latenci a stabilní ping při online hraní

57 roky ago
Technologie

Co dělat, když se ventilátor v počítači začne projevovat divným cvakáním nebo chrastěním

57 roky ago
Technologie

Jak funguje šifrování disku BitLocker a FileVault a proč by ho měl mít zapnuté každý majitel notebooku

57 roky ago
Technologie

Jak vybrat správnou grafickou kartu pro střih videa ve 4K rozlišení bez sekání náhledu

57 roky ago
Technologie

Skrytá rizika levných USB-C kabelů, které mohou trvale poškodit nabíjenou elektroniku

57 roky ago