Chrome ekstenzije prikupljale podatke 37 miliona korisnika

Vesti, 19.02.2026, 12:00 PM

Istraživanje bezbednosnog istraživača Q Continuum otkriva da 287 popularnih Chrome ekstenzija prikuplja i deli podatke o istoriji pretraživanja oko 37,4 miliona korisnika.

Reč je o dodacima koji se predstavljaju kao bezazleni alati kao što su blokatori oglasa ili alati za prilagođavanje tema pretraživača. U pozadini, međutim, oni šalju podatke o posećenim URL adresama trećim stranama, uključujući kompanije poput Similarweb-a, Alibaba Group, ByteDance-a, Semrush-a i Big Star Labs.

Podaci su u pojedinim slučajevima slani u otvorenom tekstu, dok su u drugim slučajevima pre slanja bili „zamaskirani“ tehnikama poput Base64 kodiranja ili AES-256 enkripcije. Neke ekstenzije su čak čekale da korisnik prihvati politiku privatnosti pre nego što započnu prikupljanje podataka.

Q Continuum je koristio „man-in-the-middle“ proxy za praćenje saobraćaja koji napušta uređaj, uz Docker za simulaciju realnog pretraživanja. Analizirano je 32.000 najpopularnijih aplikacija u Chrome Web Store-u.

Prema nalazima, broj od 37,4 miliona instalacija predstavlja konzervativnu procenu, što znači da bi stvarni obim prikupljanja podataka mogao biti znatno veći.

Od ukupnog broja analiziranih instalacija, oko 20 miliona nije moglo biti povezano sa konkretnim pravnim licem, dok je ostatak povezan sa većim korporacijama. Među označenim ekstenzijama nalaze se i poznati alati poput Stylish, Stands AdBlocker, Poper Blocker, CrxMouse i SimilarWeb - Website Traffic & SEO Checker.

Izveštaj ukazuje i na zabrinjavajući trend kupovine popularnih ekstenzija od strane trećih strana, nakon čega se one transformišu u alate za prikupljanje podataka. U pojedinim slučajevima, takva praksa može biti formalno dozvoljena kroz „policy exceptions“ u okviru Chrome Store pravila, što dodatno komplikuje regulativni aspekt.

Problem nije samo u količini podataka, već i u njihovoj prirodi. Potpuni URL-ovi, uključujući parametre u upitima, mogu sadržati identifikatore sesija, interne korporativne domene ili „osetljive resurse u oblaku“. To znači da rizik prevazilazi privatnost pojedinaca i može imati implikacije po poslovne sisteme.

Stručnjaci upozoravaju da je reč o kontinuiranoj „igri mačke i miša“ između istraživača i ekosistema ekstenzija, u kojoj postojeće kontrole nisu dovoljne da obezbede transparentnost i zaštitu korisnika.

Iako ove ekstenzije ne moraju nužno spadati u klasičan malver, istraživanje otvara pitanje gde se završava analitika, a gde počinje nadzor, posebno kada korisnici nisu svesni obima i načina na koji se njihovi podaci monetizuju.