Rozšíření prohlížečů jsou hrozbou pro soukromí uživatelů

7. 8. 2017
Doba čtení: 4 minuty

Sdílet

Další případ únosu rozšíření opět poukázal na známý problém: jde o část prohlížeče, kterou nemáme vůbec pod kontrolou, a přitom může téměř cokoliv. Tvůrci prohlížečů staví zdi, které tvůrci rozšíření bourají.

Minulý týden bylo uneseno rozšíření Web Developer, které používá milion uživatelů. Útočník nejprve úspěšně napadl vývojářův účet a poté nahrál novou verzi rozšíření, která ovšem obsahovala nepříjemný bonus v podobě kódu sbírajícího data a zobrazujícího vlastní reklamy. Není to první případ, podobně bylo uneseno také rozšíření Copyfish a další.

Zatímco dříve jedinci prahnoucí po snadném zbohatnutí starší rozšíření kupovali, dnes to zvládnou bez investice – prostě ukradnou účet a do rozšíření přidají vlastní kód. Obojí má ale stejný výsledek: uživatel je napaden, ohrožen a obvykle ani nemá tušení, že se něco ošklivého stalo.

Jedni staví, druzí boří

Vývojáři prohlížečů se dlouhodobě snaží přidávat do svých prohlížečů nové bezpečnostní prvky, bránit sběru informací o uživatelích a chránit jejich soukromí. Tato snaha je však často podkopávána právě rozšířeními, která jsou často špatně napsaná, neudržovaná nebo přímo unášená. Automatické aktualizace rozšíření na pozadí pak znemožňují jakoukoliv kontrolu.

Paradoxní je, že taková rozšíření často slibují zlepšení bezpečnostní situace, ve skutečnosti ale vytvářejí do zabezpečení ohromnou díru. Podobně různá vylepšení prohlížeče, rozšíření vyhledávacích schopností a další funkce slouží často jen k vynášení informací o uživatelích.

Tohle asi nechcete používat

Často jde o nástroje vkládající do navštěvovaných stránek vlastní reklamu, což je sice nepříjemné, ale nemusí jít nutně o ohrožení bezpečnosti. Jsou tu ale i horší věci, které přímo mění obsah stránky nebo mohou vynášet přihlašovací údaje. Nejhorší varianty pak například ovlivňují obsah internetového bankovnictví. Tady končí legrace.

Byly zaznamenány případy bankovního malware, který do internetového bankovnictví vkládal instrukce o instalaci nové bezpečnostní aplikace pro chytrý telefon. Uživatel, který přece instrukce dostal prokazatelně od své banky, si v dobré víře nainstaluje do telefonu druhou polovinu malware. Útočník má pak pod kontrolou počítač i telefon a může převádět peníze dle libosti. Navíc dokáže před uživatelem šikovně skrýt nechtěné transakce, protože ovládá vše, co se v prohlížeči děje.

Čtěte: Man-in-the-browser aneb jak jsem si nechal infikovat prohlížeč

Rozšíření jako sbíječka na bezpečnost

Na vážnost tohoto problému poukazuje na svém blogu internetový aktivista Lauren Weinstein, který se už desítky let zabývá soukromím na internetu a průnikem technologií do našich životů. Upozorňuje na to, že sběrem neanonymizovaných (či špatně anonymizovaných) dat o vyhledávání je možné velmi přesně identifikovat jednotlivé uživatele. Přesně k tomu se hodí údaje vynášené špatnými rozšířeními.

Instalace takových rozšíření naráží na komplexní bezpečnostní model prohlížečů a bez pochopení věcí pod kapotou může úplně zbořit jakékoliv pokusy o ochranu uživatele. Podstatné je, že většina uživatelů při instalaci užitečného rozšíření jednoduše povolí všechna požadovaná privilegia, bez ohledu na to, jak zasahují do soukromí nebo bezpečnosti, píše Weinstein.

Chtít ovšem po uživatelích něco jiného, by bylo velmi naivní. Uživatel nerozumí bezpečnostním otázkám, nechápe celou řadu technologií a pojmů týkajících se prohlížečů a chce jednoduše nainstalovat své oblíbené rozšíření. Weinstein zároveň dodává, že stejným problémem trpí například Android a jeho systém pro instalaci aplikací.

Uživatelé o rozšířeních často nevědí

Lauren Weinstein popisuje situaci, se kterou se setkávám já sám poměrně často. Známí mě zavolají, že „se jim to zase chová divně“ a že se jim otvírá spousta okýnek s reklamou. Podívám se na prohlížeč (Firefox, Chrome, je to jedno) a v něm je nainstalována celá hromada neznámých rozšíření. My jsme tam nic takového neinstalovali, dušují se. Instalovali, ovšem ne úmyslně. Navštívili prostě nějakou stránku, která jim nabídla možnost instalace rozšíření, ideálně ještě pohrozila, že bez něj nebude fungovat. Stačilo kliknout a všechno bylo v pořádku.

Přidejte si naše krásné rozšíření, celý váš život se změní

Některé stránky se snaží uživatele opakovaně a velmi nevybíravě do instalace takového rozšíření vmanipulovat. Uživatel velmi často podlehne a rozšíření nainstaluje. Obvykle veden slepou vírou v prohlížeč, který jej přece má chránit. Neví přitom, že rozšíření je součástí prohlížeče a pokud dostane požadovaná práva, stává se pánem situace.

I kdyby se ovšem uživatel chtěl zabývat podrobně všemi právy, která po něm dané rozšíření požaduje, nemůže znát jejich oprávněnost, pokud nezná podrobně vnitřnosti prohlížeče a konkrétního rozšíření. Může být například požadováno právo pro úpravu webových stránek nebo dokonce k disku počítače. To zní strašlivě, ale existuje celá řada případů, kdy takové právo rozšíření musí vyžadovat, aby mohlo plnit svou funkci. Jak to rozlišit?

bitcoin_skoleni

Jak z toho ven?

Pravděpodobně neexistuje žádné jednoduché řešení. Je nutné mít se na pozoru, instalovat minimální množství opravdu prověřených rozšíření, nepřidělovat zbůhdarma zásadní privilegia žádnému z nich a vyhnout se instalaci rozšíření vnucovaných různými stránkami. Ani tak ale nemáte jistotu, že se některé rozšíření v budoucnu nezblázní a nebude dělat něco jiného, než jeho autor původně deklaroval.

Kolik máte rozšíření v hlavním prohlížeči?

Projděte proto teď hned seznam svých rozšíření, odstraňte všechna nepotřebná nebo dokonce neznámá rozšíření. Je dobré se občas podívat, co vám to sedí v prohlížeči a jestli to náhodou nemůže dělat něco, co opravdu nechcete. Možná, že by pro některé uživatele bylo skutečně nejlepší mít prohlížeč bez podpory rozšíření. Jen tak by dělal pořád to, co by chtěli.

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.