Analytici upozornili na rozsiahly bezpečnostný problém, v rámci ktorého sa do oficiálnych katalógov doplnkov pre Google Chrome a Microsoft Edge dostalo osemnásť rozšírení so skrytými sledovacími funkciami. Kampaň odhalená 8. júla 2025 tímom Koi Security zasiahla podľa prvotných odhadov najmenej 2,3 milióna inštalácií, pričom približne 1,7 milióna pripadá na Chrome a vyše 600-tisíc na Edge. Doplnky pôsobili dôveryhodne, získali kladné hodnotenia a časť z nich niesla aj overovacie odznaky, čo u bežných používateľov posilnilo dojem legitimity. Odborníci začali o prípade hovoriť pod názvom RedDirection.
Mechanizmus útoku bol pritom jednoduchý, no účinný. V pozadí rozšírení bežal servisný skript, ktorý pri každom otvorení novej stránky odchytával adresu URL a spolu s jedinečným identifikátorom používateľa ju odosielal na riadiaci server útočníkov. Ten mohol v odpovedi prikázať presmerovanie na inú stránku a dosiahnuť tak únos relácie alebo navedenie na škodlivý obsah. Výskumníci upozornili, že tento kód nebol prítomný od začiatku, ale do pôvodne neškodných doplnkov sa dostal až následnými aktualizáciami – buď po kompromitácii účtu vývojára, alebo po tom, čo kontrolu nad projektom prevzal tretí subjekt. Takéto „spiace“ doplnky sa po čase zmenia na nástroj sledovania bez toho, aby si toho používateľ všimol.
Čítajte viac Google plánuje revolučnú zmenu. Zlúči Android a operačný systém Chrome OS?
Zasiahnuté boli rozšírenia rôzneho typu – od jednoduchých výberov farieb cez doplnky s temnou témou až po nástroje sľubujúce prístup k sociálnym sieťam či zlepšenie zvuku. Práve všedná funkcionalita a dobré recenzie pomohli prekonať prirodzenú obozretnosť a prispeli k masovému šíreniu. Incident zároveň poukázal na limity validácie v oficiálnych obchodoch, ktoré používajú kombináciu automatizovaných a manuálnych kontrol. Fakt, že niektoré doplnky boli v katalógoch dostupné dlhý čas a dokonca získali zvýraznené umiestnenie, posilnil požiadavky na prísnejšie priebežné preverovanie aktualizácií a na lepšie odhaľovanie neštandardnej komunikácie z doplnkov na externé servery.
Po zverejnení zistení kontaktovali bezpečnostní experti Koi Security spoločnosť Google. O dva dni neskôr, 10. júla 2025, technologický gigant potvrdil, že doplnky identifikované kyberbezpečnostnou firmou odstránil z Chrome Web Store. To však neznamená, že sa automaticky odstránia aj z prehliadačov používateľov; tí musia nežiaduce rozšírenia odinštalovať a odporúča sa vyčistiť históriu a súbory cookie, skontrolovať zariadenie antivírusom a zvážiť zmenu hesiel, najmä ak boli doplnky aktívne počas prihlasovania do citlivých služieb. Súbežné zistenia sa týkali aj oficiálneho obchodu pre Microsoft Edge, kde sa počet inštalácií odhadoval na stovky tisíc.
Nejde o prvý takýto prípad. Už na jar 2025 bezpečnostní experti viackrát upozornili na rizikové doplnky so skrytým sledovaním či dokonca s možnosťou vkladať škodlivý kód do navštevovaných stránok. Hoci nejde vždy o rovnakých aktérov ani identickú techniku, spoločným menovateľom je použitá technika: pôvodne neškodné projekty sa po prevzatí alebo po neoprávnenom vniknutí do vývojárskeho účtu zmenia na nástroj na zber dát alebo presmerovanie návštevnosti. Preto výskumníci publikovali detekčné pravidlá na identifikáciu artefaktov súvisiacich s RedDirection, ktoré môžu využiť prevádzkovatelia bezpečnostných systémov a analytici pri hľadaní stôp v sieťovej prevádzke či na koncových staniciach.
Čítajte viac Pri vstupe do USA vám môžu skopírovať kompletný obsah mobilu a uchovávať ho 15 rokov
Hoci oficiálne obchody s doplnkami ostávajú bezpečnejšou voľbou ako neoverené zdroje, prípad jasne ukázal, že samotný pôvod v katalógu nie je zárukou bezpečnosti. Odporúčania smerujú najmä k obmedzeniu počtu nainštalovaných rozšírení na tie, ktoré sú skutočne nevyhnutné, k pravidelnej kontrole povolení a k obozretnosti pri každej požiadavke na ich rozšírenie po aktualizácii. Používatelia by mali všímať zmeny v správaní prehliadača, neočakávané presmerovania či neštandardné žiadosti o prístup k citlivým údajom a pri pochybnostiach rozšírenie odstrániť a vykonať bezpečnostnú kontrolu systému. Praktická skúsenosť totiž ukázala, že útočníci dokážu dlhodobo ukrývať škodlivý kód vo funkčných a populárnych doplnkoch a aktivovať ho až v čase, keď to vyhovuje ich cieľom.
Z hľadiska dôvery v digitálne ekosystémy je RedDirection varovaním pre poskytovateľov platforiem aj pre používateľov. Prehliadače a ich obchody by mali rozšíriť kontinuálne overovanie aktualizácií, zaviesť prísnejšie posudzovanie sieťovej komunikácie doplnkov a rýchlejšie zdieľať indikátory kompromitácie s bezpečnostnou komunitou.
