Злом Chrome-розширень у грудні 2025 року
У грудні 2025 року дослідники безпеки з OX Security зробили тривожне відкриття: два Chrome-розширення непомітно викрадали розмови з ШІ-чатами у понад 900 000 користувачів.
Одне з цих розширень мало значок «Рекомендовано» від Google — нібито знак надійності.
Як працювала атака
Шкідливі розширення діяли з лякаючою простотою:
Крок 1: Легітимна зовнішність
Розширення пропонували корисні функції — інструменти продуктивності та покращення інтерфейсу. Вони зібрали сотні тисяч користувачів і позитивних відгуків.
Крок 2: Прихований збір даних
Після встановлення розширення відстежували активність браузера. Коли користувачі відвідували ChatGPT, Claude або інші ШІ-сервіси, розширення:
- Перехоплювали всі повідомлення чату в режимі реального часу
- Зберігали дані локально на комп'ютерах жертв
- Передавали пакети розмов на сервери управління та контролю
Крок 3: Планова ексфільтрація
Щоб уникнути виявлення, розширення передавали викрадені дані пакетами кожні 30 хвилин — достатньо повільно, щоб не спрацьовували сповіщення безпеки, і достатньо швидко, щоб перехопити все.
Інцидент Urban VPN
Злом Chrome-розширень не був поодиноким випадком. Окреме розслідування Koi Security виявило розширення «безкоштовного VPN» з понад 8 мільйонами завантажень, які збирали розмови з ШІ з липня 2025 року.
| Інцидент | Постраждалі користувачі | Виявлення |
|---|---|---|
| Шкідливі ШІ-розширення | 900 000+ | Грудень 2025 |
| Urban VPN розширення | 8 000 000+ | Листопад 2025 |
| Разом скомпрометовано | 8 900 000+ | — |
Які дані були викрадені?
Розмови з ШІ-чатами містять одні з найконфіденційніших даних, якими ділятьсякористувачі:
- Вихідний код, вставлений для налагодження
- Дані клієнтів, використані у запитах підтримки
- Фінансова інформація, проаналізована ШІ
- Юридичні документи, узагальнені для огляду
- Медична інформація, оброблена для отримання аналітики
- Внутрішні бізнес-стратегії, обговорені з ШІ
На відміну від паролів (які можна змінити) або кредитних карток (які можна скасувати), витік бізнес-розмов і вихідного коду не можна відмінити.
Чому значок «Рекомендовано» від Google не спрацював
Значок «Рекомендовано» від Google має свідчити про якість і безпеку. Вимоги включають:
- Дотримання правил Chrome Web Store
- Розкриття практик конфіденційності
- Відсутність порушень правил
Але процес верифікації має фундаментальний недолік: він перевіряє код під час подання, а не постійно. Зловмисники подають чистий код, отримують значок, потім завантажують шкідливі оновлення.
Справжня проблема: локальна обробка
Коренева проблема — не лише шкідливі розширення, а те, що конфіденційні дані взагалі потрапляють до ШІ-сервісів.
Коли ви вставляєте інформацію про клієнтів в ChatGPT:
- Вона проходить через ваш браузер
- Будь-яке розширення може її перехопити
- Вона зберігається на серверах OpenAI
- Вона може використовуватися для навчання (залежно від налаштувань)
Навіть без шкідливих розширень ви довіряєте кожному розширенню з доступом до вашого браузера, плюс безпеці та правилам ШІ-провайдера.
Рішення: анонімізуйте перед відправленням
Єдиний спосіб повністю захистити конфіденційні дані — це видалити PII до того, як вони виходять з-під вашого контролю.
Chrome Extension від anonym.legal
Наше Chrome Extension працює інакше, ніж шкідливі:
| Функція | Шкідливі розширення | anonym.legal |
|---|---|---|
| Доступ до даних | Перехоплює все | Лише при активації |
| Обробка | Надсилає на віддалені сервери | Лише локальна обробка |
| Мета | Крадіжка даних | Захист даних |
| Відкритий код | Ні | Незабаром |
Як це працює:
- Ви вводите або вставляєте текст, що містить PII
- Розширення виявляє конфіденційні дані локально
- PII замінюються токенами: «Іван Петренко» → «[PERSON_1]»
- Анонімізований текст надсилається до ШІ
- Відповідь ШІ де-анонімізується для вас
Що захищається:
- Імена, email-адреси, номери телефонів
- Номери кредитних карток, банківські рахунки
- SSN, номери паспортів, посвідчення водія
- Номери медичних карток, ідентифікатори пацієнтів
- І 250+ інших типів сутностей
Перевірте свої розширення
Терміново перевірте встановлені розширення:
Chrome
- Перейдіть на
chrome://extensions/ - Перегляньте дозволи кожного розширення
- Перевірте, коли воно востаннє оновлювалося
- Пошукайте назву розширення + «шкідливе ПЗ» або «безпека»
Тривожні ознаки
- Розширення, що запитують широкі дозволи («Читати та змінювати всі ваші дані на всіх веб-сайтах»)
- Невідомі розробники без інших розширень
- Розширення, що не оновлювалися місяцями
- Підозріло високі рейтинги з загальними відгуками
Висновок
Злом 900 000 користувачів доводить, що браузерні розширення — критична сліпа зона безпеки. Навіть процес верифікації Google можна обійти.
Найбезпечніший підхід — вважати, що будь-яке розширення може бути скомпрометоване, і захищати дані у джерелі — до того, як вони потраплять до ШІ-сервісів.
Почніть захищати свої ШІ-розмови:
- Встановити Chrome Extension від anonym.legal (безкоштовно)
- Переглянути посібник з дозволів розширень
- Дізнатися про наш підхід до безпеки
Джерела: