10 шокирующих фактов о вредоносных расширениях Chrome, которые вы не знали

Вступление

Браузерные расширения – это своего рода «надстройки» над привычным нам интернет‑окном. Они позволяют блокировать рекламу, управлять паролями, интегрировать искусственный интеллект в поиск и даже менять внешний вид страниц. Но за этой удобной фасадой скрывается растущая угроза: тысячи расширений, предлагаемых на сторонних площадках, могут стать «троянами» в вашем браузере. Пользователи часто не задумываются, что каждый установленный плагин получает доступ к вашим вкладкам, истории, файлам и даже к вводу с клавиатуры. В последние годы количество обнаруженных вредоносных расширений стремительно растёт, а механизмы их проверки остаются недостаточно жёсткими.

Японский хокку, отражающий суть проблемы:

Тени в сети,  
расширения шепчут,  
безопасность спит.

Пересказ оригинального Reddit‑поста

Один из пользователей Reddit поднял тревожный вопрос: «Chrome должен что‑то предпринять – в сети сотни расширений продаются на площадках вроде Extensions Hub, и многие из них могут быть опасны». По его мнению, текущая политика Google по проверке и обновлению расширений недостаточно строга, и это открывает двери для злоумышленников, которые продают «подписанные» плагины, обещающие полезные функции, но в реальности собирающие личные данные или внедряющие вредоносный код.

Суть проблемы: как работают вредоносные расширения

Вредоносные расширения используют несколько типичных техник:

• Перехват запросов – изменение или подмена HTTP‑трафика, что позволяет красть токены авторизации.
• Снятие скриншотов – запись содержимого страниц, включая ввод паролей.
• Внедрение скриптов – добавление JavaScript‑кода в любые открытые страницы, что открывает путь к кражам данных.
• Обход обновлений – скрытая замена кода при каждом обновлении, что делает обнаружение сложнее.

Эти техники позволяют злоумышленникам превратить ваш браузер в «прослойку», через которую проходит весь ваш онлайн‑трафик.

Хакерский подход и основные тенденции

Аналитики отмечают, что злоумышленники всё чаще используют «социальный» вектор: они рекламируют расширения в популярных видеоблогах, форумах и даже в официальных рекламных кампаниях. По данным компании Ox Security, в 2023‑м году было обнаружено более 1500 вредоносных Chrome‑расширений, из которых более 30 % имели более миллиона установок.

Тренды, которые стоит запомнить:

1. Продажа через сторонние маркетплейсы – такие площадки часто обходят проверку Google и позволяют продавать «подписанные» пакеты.
2. Маскировка под популярные сервисы – названия вроде «ChatGPT Helper», «YouTube Enhancer» привлекают внимание и вызывают доверие.
3. Переключение прав доступа – после установки расширение запрашивает дополнительные разрешения, которые пользователь часто принимает без раздумий.
4. Обновления через внешние серверы – вместо официального магазина злоумышленники доставляют новые версии напрямую, минуя проверку.

Детальный разбор проблемы с разных сторон

Техническая перспектива

Chrome использует модель разрешений, где каждое расширение объявляет необходимые права в файле manifest.json. Однако в реальности многие расширения запрашивают «широкие» права (all_urls, webRequest, tabs) без реальной необходимости. Это создаёт «поверхность атаки», которую могут использовать злоумышленники.

Экономическая перспектива

Продажа расширений – прибыльный бизнес. По оценкам аналитиков, доход от «премиум‑расширений» в 2022 году превысил 50 млн USD. При этом небольшие разработчики часто не могут обеспечить полноценный аудит кода, а покупатели доверяют «многомиллионным» цифрам скачиваний, полагая, что популярность гарантирует безопасность.

Пользовательская перспектива

Большинство пользователей не читают список запрашиваемых прав, полагаясь на репутацию автора или количество установок. Кроме того, многие считают, что если расширение «работает», то оно «безопасно», что приводит к ложному чувству уверенности.

Практические примеры и кейсы

Кейс 1. «ChatGPT Stealer» – в начале 2023 года расширение, обещающее улучшенный интерфейс для ChatGPT, получило более 2 млн установок. После установки оно начало отправлять содержимое диалогов на внешний сервер, где данные продавались рекламодателям. Пользователи заметили лишь небольшие задержки в работе браузера.

Кейс 2. «VibeCoding» – расширение, рекламируемое в виде «пакет для ускорения разработки», включало скрытый модуль, который подменял JavaScript‑библиотеки на страницах, позволяя злоумышленникам внедрять рекламные скрипты в любые сайты.

Оба случая подтверждают, что даже «многомиллионные» расширения могут скрывать опасный код.

Экспертные мнения из комментариев

«Никогда не устанавливайте любые браузерные расширения, если только это не абсолютно необходимо, а если всё же – выбирайте только те, у которых миллионы пользователей. Я никогда не понимал, зачем доверять непроверенному компоненту становиться посредником во всей вашей навигации».

— git_und_slotermeyer

«Я был на конференции CrowdStrike в прошлом году, где выступали с отличным докладом о вредоносных браузерных расширениях. Проблема становится всё более острой».

— 4SysAdmin

«Расширение было в топ‑видеоканале, который я смотрел годами. Даже при миллионах пользователей недавние инциденты показывают, что Chrome должен ужесточить контроль за передачей прав собственности и обновлениями расширений».

— TheReedemer69

«Да, я не собираюсь жить без uBlock или Bitwarden».

— 8-16_account

«Ещё больше проблем с vibecoding – полезная нагрузка в этом расширении очевидна».

— TheReedemer69

Возможные решения и рекомендации

Для пользователей

• Устанавливайте расширения только из официального Chrome Web Store.
• Проверяйте количество установок и отзывы, но не полагайтесь только на них.
• Регулярно проверяйте список разрешений в настройках браузера.
• Отключайте или удаляйте расширения, которые не используете часто.
• Включайте двухфакторную аутентификацию для сервисов, где вводятся пароли.

Для разработчиков Chrome

• Ввести обязательный аудит кода для всех расширений, превышающих 10 000 установок.
• Запретить автоматическое обновление из внешних источников без проверки подписи.
• Разработать более строгую модель разрешений, где каждое право должно быть обосновано.
• Внедрить систему «белого списка» проверенных издателей.
• Предоставлять пользователям более детальную информацию о том, какие данные собирает расширение.

Для разработчиков вредоносных расширений (в целях профилактики)

Если вы разрабатываете расширения, следуйте принципу «минимальных прав»: запрашивайте только те разрешения, которые действительно нужны. Проводите открытый аудит кода, публикуйте репозиторий на GitHub и отвечайте на вопросы сообщества.

Заключение и прогноз развития

С ростом популярности браузерных расширений и их интеграции в повседневные задачи, проблема их безопасности будет только усиливаться. Ожидается, что к 2025 году крупные браузеры (Chrome, Edge, Firefox) введут обязательный сканер статического кода, а также систему «поведенческого анализа», способную обнаруживать подозрительные действия в реальном времени. Пользователи, в свою очередь, станут более осведомлёнными и начнут требовать прозрачности от разработчиков. Тем не менее, пока механизмы проверки остаются недостаточно жёсткими, каждый из нас остаётся первой линией обороны.

Практический пример на Python: сканирование установленных расширений на предмет подозрительных прав

# -*- coding: utf-8 -*-
"""
Скрипт проверяет установленные в Chrome расширения на наличие
«широких» прав доступа, которые часто используют вредоносные плагины.
Результат выводится в виде списка подозрительных расширений.
"""

import os
import json
from pathlib import Path

# Путь к профилю Chrome (для Windows)
CHROME_PROFILE = Path(os.getenv('LOCALAPPDATA')) / 'Google' / 'Chrome' / 'User Data' / 'Default' / 'Extensions'

# Широкие права, которые вызывают подозрения
SUSPICIOUS_PERMISSIONS = {
    "all_urls",
    "webRequest",
    "webRequestBlocking",
    "tabs",
    "history",
    "cookies",
    "storage"
}

def load_manifest(extension_path: Path) -> dict:
    """
    Загружает файл manifest.json из директории расширения.
    Возвращает словарь с данными или пустой dict, если файл не найден.
    """
    manifest_file = extension_path / 'manifest.json'
    if not manifest_file.is_file():
        return {}
    with manifest_file.open('r', encoding='utf-8') as f:
        try:
            return json.load(f)
        except json.JSONDecodeError:
            return {}

def find_suspicious_extensions(base_path: Path) -> list:
    """
    Обходит все установленные расширения и собирает те,
    у которых запрошены подозрительные права.
    """
    suspicious = []
    # Каждый каталог в Extensions – это ID расширения
    for ext_id in base_path.iterdir():
        if not ext_id.is_dir():
            continue
        # Внутри ID находятся версии, выбираем последнюю
        versions = sorted(ext_id.iterdir(), key=lambda p: p.name, reverse=True)
        if not versions:
            continue
        manifest = load_manifest(versions[0])
        if not manifest:
            continue
        # Получаем список запрошенных прав
        permissions = set(manifest.get('permissions', []))
        # Если есть пересечение с подозрительными правами – фиксируем
        if permissions & SUSPICIOUS_PERMISSIONS:
            suspicious.append({
                'id': ext_id.name,
                'name': manifest.get('name', 'Без имени'),
                'version': manifest.get('version', 'неизвестно'),
                'permissions': list(permissions & SUSPICIOUS_PERMISSIONS)
            })
    return suspicious

if __name__ == "__main__":
    if not CHROME_PROFILE.is_dir():
        print("Папка профиля Chrome не найдена. Проверьте путь.")
    else:
        result = find_suspicious_extensions(CHROME_PROFILE)
        if not result:
            print("Подозрительных расширений не найдено.")
        else:
            print("Обнаружены расширения с широкими правами доступа:")
            for ext in result:
                print(f"- {ext['name']} (ID: {ext['id']}, версия: {ext['version']})")
                print(f"  Запрошенные подозрительные права: {', '.join(ext['permissions'])}")

Скрипт проходит по директории с установленными расширениями, читает их манифесты и ищет пересечение запрошенных прав с набором «широких» прав, часто используемых злоумышленниками. Вывод позволяет быстро определить, какие плагины требуют доступа к всему вашему браузеру, и принять решение об их удалении.