Popularne ekstenzije za Google Chrome nisu bezbedne, ugroženi podaci miliona korisnika

Vesti, 09.06.2025, 11:30 AM

Popularne ekstenzije za Google Chrome nisu bezbedne, ugroženi podaci miliona korisnika

Istraživači iz kompanije Symantec upozorili su korisnike Google Chrome-a na popularne dodatke za Google-ov veb pregledač koji šalju osetljive korisničke podatke bez enkripcije, čime se ugrožava privatnost i bezbednost miliona korisnika.

Prema izveštaju Symantec-a, dodaci za Chrome koji prenose podatke bez enkripcije su PI Rank, Browsec VPN, MSN New Tab, SEMRush Rank i DualSafe Password Manager & Digital Vault.

Osim njih, postoje i drugi dodaci koji na sličan način omogućavaju presretanje i zloupotrebu korisničkih podataka.

Iako se navedeni dodaci predstavljaju kao alati za unapređenje korisničkog iskustva i upravljanje lozinkama, oni zapravo ugrožavaju bezbednost korisnika. To znači da svako ko se nalazi na istoj mreži (npr. na javnom Wi-Fi-ju) može videti koji se podaci prenose. To u nekim slučajevima uključuje domene koje korisnik posećuje, informacije o operativnom sistemu, jedinstvene identifikatore uređaja i telemetrijske podatke. Okriveno je i da nekoliko dodataka ima hardkodovane API ključeve i tokene u svom kodu, što napadačima može omogućiti dalju zloupotrebu.

Slanjem podataka preko HTTP-a umesto HTTPS-a, svi podaci putuju kroz mrežu u tekstualnom formatu. Na javnoj mreži je takav saobraćaj lako presresti, a može se čak i modifikovati u toku prenosa.

Browsec VPN, dodatak koji koristi više od 6 miliona korisnika, tokom procesa deinstalacije šalje korisničke identifikatore i statistiku korišćenja bez ikakve zaštite. Još gore, njegova konfiguracija dozvoljava povezivanje na nesigurne sajtove, dodatno proširujući prostor za napad.

Slične propuste imaju i drugi dodaci. SEMRush Rank i PI Rank šalju kompletne URL-ove posećenih sajtova ka eksternim serverima - što omogućava praćenje korisničkog surfovanja. MSN New Tab i MSN Homepage, sa stotinama hiljada korisnika, prenose identifikator uređaja i druge detalje o uređajima. Ovi identifikatori su trajni pa omogućavaju da se poveže više sesija i naprave profili korisnika.

Čak je i DualSafe Password Manager, alat koji bi trebao da štiti najosetljivije podatke, uhvaćen tokom slanja telemetrije preko HTTP-a. Iako lozinke nisu direktno kompromitovane, ovakvo ponašanje ozbiljno narušava poverenje u dizajn dodatka.

Iako nije utvrđeno curenje lozinki ili direktno kompromitovanje finansijskih podataka, otkrivanje identifikatora uređaja, istorije pretraživanja i telemetrije nije nimalo bezazleno. Napadači ove informacije mogu koristiti za praćenje korisnika na sajtovima, ciljane phishing napade i za izvođenje napada.

Symantec je kontaktirao programere pogođenih dodataka. Za sada je samo DualSafe Password Manager ispravio propust.

Korisnicima se savetuje da uklone pogođene dodatke dok se ne potvrdi da su propusti ispravljeni, da pažljivo proveravaju koje dozvole dodatak traži, izbegavaju dodatke nepoznatih programera i koriste proverena rešenja za zaštitu uređaja.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zbog greške u popularnom WordPress pluginu ugroženo više od 200.000 sajtova

Zbog greške u popularnom WordPress pluginu ugroženo više od 200.000 sajtova

Više od 200.000 veb sajtova koji koriste ranjivu verziju popularnog WordPress plugina Post SMTP mogli bi biti laka meta za hakere. Post SMTP je dodat... Dalje

Digitalna distopija: kako WiFi može da vas prepozna

Digitalna distopija: kako WiFi može da vas prepozna

Naučnici sa Univerziteta La Sapienza u Rimu otkrili su kako da prepoznaju ljude samo pomoću WiFi signala, bez ikakvog snimanja, bez saglasnosti, bez... Dalje

Malver u novoj igri na Steamu krade lozinke i kriptovalutu

Malver u novoj igri na Steamu krade lozinke i kriptovalutu

Igrači na Steam platformi ponovo su se našli na meti sajber kriminalaca, ovoga puta kroz kompromitovanu igru Chemia, koja je korišćena za distribu... Dalje

Tihi uljez u WordPressu: Novi backdoor koristi skrivene pluginove za potpunu kontrolu sajta

Tihi uljez u WordPressu: Novi backdoor koristi skrivene pluginove za potpunu kontrolu sajta

Istraživači sajber bezbednosti iz kompanije Sucuri otkrili su novi backdoor skriven u direktorijumu „mu-plugins“ na WordPress sajtovima,... Dalje

Opasna 0-day ranjivost u SharePoint-u: Microsoft upozorava na masovne napade

Opasna 0-day ranjivost u SharePoint-u: Microsoft upozorava na masovne napade

Microsoft je izdao hitno upozorenje nakon što je otkriveno da hakeri širom sveta iskorišćavaju ranjivost nultog dana u lokalnim SharePoint server... Dalje