Beveiligingsonderzoekers hebben opnieuw een reeks kwaadaardige extensies ontdekt in de Chrome Web Store. Dit keer gaat het om 30 verschillende extensies die samen de inloggegevens van meer dan 260.000 gebruikers hebben gestolen. Dit onderstreept opnieuw dat browser-extensies een serieus beveiligingsrisico kunnen vormen, zelfs wanneer ze via de officiële Web Store worden geïnstalleerd.

Hoe werkten deze kwaadaardige extensies?

De extensies gebruikten een slimme en gevaarlijke techniek. Ze laadden een full-screen iframe vanaf een externe server. Deze iframe werd over de huidige webpagina heen geplaatst en zag eruit als een legitieme interface van de extensie zelf.

Omdat deze kwaadaardige functionaliteit op een externe server stond en niet direct in de extensiecode aanwezig was, kon de extensie door de controle van de Chrome Web Store komen zonder dat het kwaadaardige gedrag werd ontdekt.

Met andere woorden: de extensie leek schoon tijdens controle, maar werd pas gevaarlijk nadat hij was geïnstalleerd.

Bekende aanvalstechniek: “Extension spraying”

De aanvallers gebruikten een methode die bekend staat als extension spraying. Hierbij publiceren ze meerdere extensies met:

• verschillende namen

• verschillende unieke ID’s

• maar met vrijwel dezelfde kwaadaardige functionaliteit

Dit maakt het moeilijker om alle varianten tegelijk te detecteren en verwijderen. Zelfs als één extensie wordt verwijderd, blijven andere varianten actief.

Niet de eerste keer

Dit incident staat niet op zichzelf. Recent werden ook extensies ontdekt die:

• ChatGPT-gesprekken bespioneerden

• browseractiviteit van gebruikers volgden

• opzettelijk browsercrashes veroorzaakten

• of zich voordeden als legitieme extensies

Het patroon is duidelijk: browser-extensies worden steeds vaker gebruikt als aanvalsvector.

Waarom zoeken op naam niet voldoende is

Veel gebruikers controleren hun extensies door te zoeken op naam. Dit is echter niet betrouwbaar, omdat extensienamen niet uniek zijn. Cybercriminelen kunnen eenvoudig een legitieme extensie imiteren met dezelfde of een vergelijkbare naam.

De enige betrouwbare manier om een extensie te identificeren is via de unieke extensie-ID.

Wat is een extensie-ID?

Elke Chrome- of Edge-extensie heeft een unieke ID:

• een string van 32 kleine letters

• deze blijft hetzelfde, zelfs als de extensie wordt hernoemd

Deze ID is de enige zekere manier om vast te stellen of een extensie legitiem of kwaadaardig is.

Welke extensies zijn het grootste risico?

Er zijn twee soorten extensies:

1. Door de gebruiker geïnstalleerde extensies
   → Dit zijn extensies die je zelf uit de Web Store hebt geïnstalleerd

2. Geforceerd geïnstalleerde extensies
   → Bijvoorbeeld via malware, netwerkbeheer of Group Policy

De meeste thuisgebruikers hoeven zich vooral zorgen te maken over de eerste categorie.

Wat kun je doen om jezelf te beschermen?

Een paar belangrijke tips:

• Controleer regelmatig je geïnstalleerde extensies

• Verwijder extensies die je niet meer gebruikt

• Installeer alleen extensies die je echt nodig hebt

• Let op extensies met weinig reviews of onbekende ontwikkelaars

• Wees extra voorzichtig met extensies die toegang vragen tot “alle websites”

Een goede vuistregel: hoe minder extensies, hoe veiliger je browser.

Conclusie

Dit incident laat opnieuw zien dat zelfs de officiële Chrome Web Store geen volledige garantie biedt op veiligheid. Cybercriminelen worden steeds slimmer in het verbergen van kwaadaardige functionaliteit.

Browser-extensies kunnen handig zijn, maar vormen tegelijkertijd een serieus beveiligingsrisico. Controleer daarom regelmatig je extensies en wees kritisch op wat je installeert.