Past v Google Chrome: Oblíbený doplněk prohlížeče byl zákeřný vir
Sledovat v Google Zprávách
Miliony lidí si do Chrome nainstalovaly nenápadné rozšíření, které slibovalo snadný převod obrázků do jiných formátů. Místo toho ale tiše přepisovalo odkazy, zasahovalo do obsahu stránek a generovalo zisk svým provozovatelům. Ukazuje se tak, jak rychle se z populárního doplňku může stát nástroj kybernetického podvodu.
Doplněk nazvaný Save Image as Type patřil mezi často používané pomocníky při práci s obrázky. Uměl převádět například formát WebP – ten dnes používá řada webů kvůli úspoře dat – na běžnější JPG nebo PNG. Hodilo se to hlavně tehdy, když jste potřebovali obrázek otevřít v programu, který si s WebP zkrátka neporadí.
Zpočátku působil zcela neškodně. Měl solidní hodnocení a podle dostupných čísel i miliony stažení. Zlom přišel až ke konci roku 2024, kdy dorazila aktualizace. Právě ta podle bezpečnostních analytiků obsahovala kód, který už s převodem obrázků neměl moc společného.
Jak doplněk vydělával bez vědomí uživatelů
Po aktualizaci začalo rozšíření nenápadně zasahovat do navštívených stránek. Vkládalo do nich skryté prvky a upravovalo odkazy – typicky šlo o partnerské odkazy směřující třeba na Amazon nebo jiné e‑shopy. Pokud pak člověk nakoupil, provize nešla původnímu autorovi odkazu, ale provozovateli doplňku.
Této technice se říká affiliate fraud. Uživatel klikne na obyčejný odkaz, nic zvláštního nevidí, jenže na pozadí dojde k přesměrování přes cizí identifikátor. Obchod pak eviduje nákup jako doporučený partnerem – a vyplácí mu odměnu, aniž by o tom zákazník tušil.
Z pohledu samotného obchodu tak vše vypadá legitimně. Podle analýz nezávislých výzkumníků byl škodlivý kód navíc navržen poměrně chytře. Aktivoval se až po určité aktivitě uživatele a ne hned po instalaci, takže unikal automatickým kontrolám i běžné pozornosti.
Od užitečného nástroje k malwaru
Zásadní roli sehrál prodej projektu neznámé firmě. Takové případy nejsou výjimkou – autor vytvoří úspěšné rozšíření, získá tisíce či miliony instalací a pak jej prodá dál. Nový vlastník má pak volnou ruku v tom, co do další aktualizace přidá.
V tomto případě se podle dostupných informací začala některá data ukládat lokálně a navíc v zašifrované podobě. To znamená, že obsah nebyl čitelný bez správného klíče, což výrazně ztěžuje analýzu. Pro běžného uživatele prakticky nemožné zjistit co se vlastně děje.
Objevily se i spekulace, že napadené prohlížeče mohly být zneužity jako součást takzvaného botnetu. Tedy sítě zařízení, kterou útočník ovládá na dálku. Taková síť se dá využít k rozesílání spamu nebo dalším útokům, přičemž uživatel si všimne maximálně lehkého zpomalení počítače, a někdy ani to ne.
Zajímavá je také reakce velkých technologických firem. Microsoft podle dostupných informací odstranil problematickou verzi z Edge už začátkem roku 2025. Google ale doplněk deaktivoval až v březnu 2026, i když se varování bezpečnostních expertů objevovala dříve. Nabízí se otázka, jak přísná je kontrola rozšíření v Chrome Web Store.
Co mají uživatelé udělat
Google dnes rozšíření označuje jako deaktivované. To však neznamená, že se samo odstraní z vašeho počítače. Pokud jste Save Image as Type někdy používali, vyplatí se otevřít seznam nainstalovaných doplňků a zkontrolovat, zda tam stále není.
- V Chrome otevřete Nastavení a přejděte do části Rozšíření.
- Najděte Save Image as Type (případně jiný podezřelý doplněk).
- Zvolte Odebrat a pro jistotu restartujte prohlížeč.
Bezpečnostní experti dlouhodobě radí instalovat jen to, co opravdu potřebujete. A hlavně sledovat oprávnění. Pokud nástroj na převod obrázků vyžaduje přístup ke všem navštíveným stránkám, něco tu nehraje. Právě široká oprávnění totiž umožnila manipulaci s odkazy a přesměrování provozu jinam.
Případ kolem Save Image as Type připomíná, že hrozba nemusí číhat jen na pochybných webech. Klidně může být schovaná v doplňku, který působí profesionálně a má spoustu kladných recenzí. O to důležitější je sledovat novinky ze světa kyberbezpečnosti a občas si udělat v prohlížeči pořádek – i když se nám do toho nechce.
Zdroje: bleepingcomputer.com, thehackernews.com, microsoft.com, support.google.com
