Joulukuun 2025 Chrome-laajennusmurtuminen
Joulukuussa 2025 OX Securityn turvallisuustutkijat tekivät hälyttävän löydön: kaksi Chrome-laajennusta oli hiljaa varastamassa AI-keskusteluja yli 900 000 käyttäjältä.
Yksi näistä laajennuksista kantoi Googlen "Featured"-merkkiä – oletettua luotettavuuden merkkiä.
Miten hyökkäys toimi
Haitalliset laajennukset toimivat tuhoisan yksinkertaisesti:
Vaihe 1: Laillinen ulkoasu
Laajennukset tarjosivat hyödyllisiä ominaisuuksia – tuottavuustyökaluja ja käyttöliittymän parannuksia. Ne keräsivät satojatuhansia käyttäjiä ja positiivisia arvioita.
Vaihe 2: Hiljainen tietojen keruu
Kun laajennukset oli asennettu, ne seurasivat selaimen toimintaa. Kun käyttäjät vierailivat ChatGPT:ssä, Claude:ssa tai muissa AI-palveluissa, laajennukset:
- Kaappasivat kaikki keskustelut viestin reaaliajassa
- Tallensivat tiedot paikallisesti uhrien koneille
- Siirsivät keskustelupaketit komentopalvelimille
Vaihe 3: Aikataulutettu tietojen siirto
Välttääkseen havaitsemisen laajennukset siirsivät varastettuja tietoja paketeissa joka 30 minuutti – tarpeeksi hitaasti, jotta turvallisuushälytyksiä ei laukaistu, mutta tarpeeksi nopeasti, jotta kaikki saatiin talteen.
Urban VPN -tapaus
Chrome-laajennusmurtuminen ei ollut eristyksissä. Koi Securityn erillisessä tutkimuksessa havaittiin, että "ilmaiset VPN" -laajennukset, joilla oli yli 8 miljoonaa latausta, olivat keränneet AI-keskusteluja heinäkuusta 2025 lähtien.
| Tapahtuma | Vaikuttavat käyttäjät | Löydös |
|---|---|---|
| Haitalliset AI-laajennukset | 900 000+ | Joulukuu 2025 |
| Urban VPN -laajennukset | 8 000 000+ | Marraskuu 2025 |
| Yhteensä altistuneet | 8 900 000+ | — |
Mitä tietoja varastettiin?
AI-keskustelut sisältävät joitakin herkimmistä tiedoista, joita käyttäjät jakavat:
- Lähdekoodi liitettynä virheenkorjaukseen
- Asiakastiedot käytetty tukikysymyksissä
- Rahoitustiedot analysoituna AI:n avulla
- Oikeudelliset asiakirjat tiivistettynä tarkastettavaksi
- Lääketieteelliset tiedot käsiteltynä oivalluksiksi
- Sisäiset liiketoimintastrategiat keskusteltuna AI:n kanssa
Toisin kuin salasanat (jotka voidaan vaihtaa) tai luottokortit (jotka voidaan peruuttaa), vuotaneet liiketoimintakeskustelut ja lähdekoodi eivät voi olla "palautettavissa".
Miksi Googlen "Featured"-merkki epäonnistui
Googlen Featured-merkki on tarkoitettu osoittamaan laatua ja turvallisuutta. Vaatimukset sisältävät:
- Chrome Web Store -käytäntöjen noudattaminen
- Tietosuojakäytännön ilmoitukset
- Ei politiikan rikkomuksia
Mutta varmennusprosessissa on perusvika: se tarkistaa koodin lähetyshetkellä, ei jatkuvasti. Hyökkääjät lähettävät puhdasta koodia, saavat merkin ja työntävät sitten haitallisia päivityksiä.
Todellinen ongelma: Vain paikallinen käsittely
Perusongelma ei ole vain haitalliset laajennukset – se on, että herkät tiedot pääsevät AI-palveluille ylipäätään.
Kun liität asiakastietoja ChatGPT:hen:
- Se kulkee selaimesi kautta
- Mikä tahansa laajennus voi kaapata sen
- Se tallennetaan OpenAI:n palvelimille
- Sitä voidaan käyttää koulutukseen (asetuksista riippuen)
Vaikka haitallisia laajennuksia ei olisi, luotat jokaiseen laajennukseen, jolla on pääsy selaimeesi, sekä AI-palveluntarjoajan turvallisuuteen ja käytäntöihin.
Ratkaisu: Anonymisoi ennen lähettämistä
Ainoa tapa suojata herkät tiedot täysin on poistaa PII ennen kuin se poistuu hallinnastasi.
anonym.legal Chrome-laajennus
Meidän Chrome-laajennuksemme toimii eri tavalla kuin haitalliset:
| Ominaisuus | Haitalliset laajennukset | anonym.legal |
|---|---|---|
| Tietojen pääsy | Kaappaa kaiken | Vain aktivoituna |
| Käsittely | Lähettää etäpalvelimille | Vain paikallinen käsittely |
| Tavoite | Tietojen varastaminen | Tietojen suojaaminen |
| Avoin lähdekoodi | Ei | Tulossa pian |
Miten se toimii:
- Kirjoitat tai liität tekstiä, joka sisältää PII:tä
- Laajennus havaitsee herkät tiedot paikallisesti
- PII korvataan tokeneilla: "John Smith" → "[PERSON_1]"
- Anonymisoitu teksti lähetetään AI:lle
- AI:n vastaus anonymisoidaan sinulle
Mitä suojataan:
- Nimet, sähköpostiosoitteet, puhelinnumerot
- Luottokorttinumerot, pankkitilit
- SSN:t, passinumerot, ajokortit
- Lääketietueiden numerot, potilastunnukset
- Ja yli 250 muuta entiteettiä
Tarkista laajennuksesi
Tarkista asennetut laajennuksesi heti:
Chrome
- Siirry osoitteeseen
chrome://extensions/ - Tarkista jokaisen laajennuksen käyttöoikeudet
- Tarkista, milloin se on viimeksi päivitetty
- Etsi laajennuksen nimeä + "haittaohjelma" tai "turvallisuus"
Varoitusmerkit
- Laajennukset, jotka pyytävät laajoja käyttöoikeuksia ("Lue ja muuta kaikkia tietojasi kaikilla verkkosivustoilla")
- Tuntemattomat kehittäjät, joilla ei ole muita laajennuksia
- Laajennukset, joita ei ole päivitetty kuukausiin
- Epäilyttävän korkeat arviot yleisillä arvioilla
Yhteenveto
900 000 käyttäjän murtuminen todistaa, että selainlaajennukset ovat kriittinen turvallisuusheikkous. Jopa Googlen varmennusprosessi voidaan kiertää.
Turvallisin lähestymistapa on olettaa, että jokainen laajennus voisi olla vaarantunut ja suojata tiedot lähteellä – ennen kuin ne koskaan pääsevät AI-palveluille.
Aloita AI-keskustelujesi suojaaminen:
- Asenna anonym.legal Chrome-laajennus (ilmainen)
- Katso laajennuslupien opas
- Lue turvallisuuslähestymistavastamme
Lähteet: