A 2025. decemberi Chrome-bővítmény-sebezhetőség
2025 decemberében az OX Security biztonsági kutatói nyugtalanító felfedezést tettek: két Chrome-bővítmény csendben lopta el az AI-csevegési beszélgetéseket 900 000+ felhasználótól.
Az egyik bővítményen ott volt a Google „Kiemelt" jelvénye – az állítólagos megbízhatóság jelzése.
Hogyan működött a támadás
A rosszindulatú bővítmények pusztító egyszerűséggel működtek:
1. lépés: Jogos megjelenés
A bővítmények hasznos funkciókat kínáltak – produktivitási eszközöket és felhasználói felület-fejlesztéseket. Százezres felhasználói bázist és pozitív értékeléseket gyűjtöttek.
2. lépés: Csendes adatgyűjtés
Telepítés után a bővítmények monitorozták a böngésző aktivitását. Amikor a felhasználók meglátogatták a ChatGPT-t, Claude-ot vagy más AI-szolgáltatásokat, a bővítmények:
- Valós időben elfogták az összes csevegési üzenetet
- Az adatokat helyben tárolták az áldozatok gépein
- Csevegési kötegeket küldtek parancs- és vezérlőszerverekre
3. lépés: Ütemezett kiszűrés
A felismerés elkerülése érdekében a bővítmények 30 percenként küldték el a kötegelt ellopott adatokat – elég lassan ahhoz, hogy ne indítson el biztonsági riasztásokat, elég gyorsan ahhoz, hogy mindent rögzítsen.
Az Urban VPN-incidens
A Chrome-bővítmény-sebezhetőség nem volt elszigetelt eset. Egy külön Koi Security-vizsgálat „ingyenes VPN" bővítményeket talált, amelyeknek 8 millió letöltése volt, és 2025 júliusa óta gyűjtötték az AI-csevegéseket.
| Incidens | Érintett felhasználók | Felfedezés |
|---|---|---|
| Rosszindulatú AI-bővítmények | 900 000+ | 2025. december |
| Urban VPN bővítmények | 8 000 000+ | 2025. november |
| Összesen érintett | 8 900 000+ | — |
Milyen adatokat loptak el?
Az AI-csevegési beszélgetések a felhasználók által megosztott legérzékenyebb információkat tartalmazzák:
- Forráskód hibakeresés céljából beillesztve
- Ügyféladatok támogatási lekérdezésekben
- Pénzügyi információk AI által elemezve
- Jogi dokumentumok felülvizsgálat céljából összefoglalva
- Orvosi információk elemzés céljából feldolgozva
- Belső üzleti stratégiák AI-val megbeszélve
A jelszavakkal ellentétben (amelyeket érvényteleníthet) ezek az adatok tartósan értékesek maradnak.
Miért nem elegendő a Google „Kiemelt" jelvénye
A Kiemelt jelvény azt jelzi, hogy a Google ellenőrizte a bővítményt az alapvető technikai követelmények szempontjából – ez nem jelenti azt, hogy a bővítmény megbízható az adatvédelem szempontjából.
A jelvény értékelésénél a Google elsősorban a következőkre összpontosít:
- A bővítmény funkciókra vonatkozó állításai teljesülnek-e
- Nyilvánvaló biztonsági sérülékenységek
- Az engedélyek megfelelőek-e a funkciókhoz
Nem értékeli:
- Azt, hogy a bővítmény valóban védi-e az adatvédelmet
- A kiszűrési viselkedést, amely a szokásos használat során nem nyilvánvaló
- A mögöttes vállalat joghatóságát és adatkezelési gyakorlatát
Az anonym.legal különbsége
Az anonym.legal Chrome-bővítményét más biztonsági elvek szerint tervezték:
Helyi feldolgozás elsőként
- A PII-azonosítás az eszközén történik
- A szerver csak anonimizált tokeneket lát
- Nincs csevegési tartalom a szervereinkre küldve
Zéró tudású architektúra
- A titkosítási kulcsok soha nem hagyják el eszközét
- Nem tudjuk hozzzáférni az anonimizált adataihoz, még ha akarjuk sem
- A titkosítás a szerveren nem oldható fel
Ellenőrizhető nyílt forráskód
- A bővítmény forráskódja elérhető audithoz
- Harmadik fél általi biztonsági felülvizsgálat
- Átlátható adatkezelési dokumentáció
Az önvédelem lépései
Azonnali lépések
- Tekintse át a telepített bővítményeket:
chrome://extensions/→ távolítsa el a nem felismerteket - Ellenőrizze az engedélyeket: A bővítményeknek csak a szükséges engedélyekkel kell rendelkezniük
- Keressen aktív hálózati kéréseket: A DevTools hálózati fülén figyelheti a bővítményforgalmat
Folyamatos védelem
- Csak megbízható, auditált bővítményeket telepítsen: Ellenőrizze az adatvédelmi audit tanúsítványokat
- Tiltsa le az inaktív bővítményeket: Csak akkor engedélyezze, amikor szükséges
- Figyelje a bővítmény-frissítéseket: A rosszindulatú bővítmények ártatlanul indulnak, majd frissítéseket kapnak
Vállalati megközelítés
- Bővítmény-engedélyezési lista: Csak jóváhagyott bővítmények telepíthetők
- Menedzselt böngésző-profilok: Központosított bővítménykezelés
- Hálózati szintű felügyelet: Flaggelje az ismeretlen bővítményszerverekre irányuló forgalmat
Következtetés
A Chrome-bővítmény ökoszisztéma alapvetően törött az adatvédelem szempontjából. A felhasználók nem rendelkeznek megfelelő eszközökkel a rosszindulatú bővítmények legitim eszközöktől való megkülönböztetéséhez.
A valódi megoldás: feltételezze, hogy a bővítmény, amit az AI csevegéseihez használ, potenciálisan kompromittálódott, és ennek megfelelően védje az adatait.
Az anonym.legal ezt úgy oldja meg, hogy anonimizálja a PII-t, mielőtt az bármelyik bővítményhez kerülne – így még ha az AI-csevegésbővítménye rosszindulatú is, nincs mit ellopnia.
- Tudjon meg többet a Chrome-bővítményünkről
- A zéró tudású architektúra megértése
- Ingyenes próbaidőszak indítása
Források: