Cybersikkerhedsforskere har opdaget en falsk Perplexity-udvidelse til Chrome, som udgav sig for at være den populære AI-søgeassistent. Samtidig opsnappede den brugernes søgetrafik og indsamlede browserdata i al hemmelighed. Den ondsindede udvidelse blev offentliggjort i Chrome Web Store og sendte søgninger gennem infrastruktur kontrolleret af angribere, før brugerne blev videresendt til legitime søgemaskiner.

Microsoft fandt ingen tegn på, at udvidelsen stjal adgangskoder eller loginoplysninger. Forskerne advarer dog om, at de omfattende browsertilladelser let kunne bruges til langt mere alvorlige angreb.

Falsk Perplexity-udvidelse kaprede søgetrafikken

Microsoft Threat Intelligence opdagede den ondsindede udvidelse, som blev offentliggjort i Chrome Web Store under navnet “Search for perplexity ai”.

Udvidelsen forsøgte at efterligne den officielle Perplexity AI-udvidelse ved at bruge lignende branding og sende brugerne til domænet perplexity-ai[.]online i stedet for den officielle hjemmeside perplexity.ai.

Efter installation ændrede den falske Perplexity-udvidelse automatisk Chromes standardsøgemaskine. I stedet for at sende søgninger direkte til brugerens foretrukne søgetjeneste sendte den alle søgninger fra adresselinjen gennem servere kontrolleret af angriberne, før brugeren blev videresendt til en legitim søgemaskine.

Ifølge Microsoft udnyttede angriberne Chromes funktion chrome_settings_overrides til at erstatte browserens standardsøgemaskine og opsnappe søgninger fra adresselinjen.

Microsoft afslørede omfattende dataindsamling

Microsofts undersøgelse viste, at udvidelsen indsamlede langt flere oplysninger, end brugere normalt forventer af en AI-assistent.

Forskerne fandt logningskode på angribernes infrastruktur, som bekræftede, at dataindsamlingen var en bevidst del af udvidelsens funktion og ikke en utilsigtet bivirkning.

Derudover anmodede udvidelsen om flere omfattende Chrome-tilladelser, der gjorde det muligt at omdirigere trafik, omskrive webadresser og overvåge, hvornår browserregler blev udført.

Microsoft påpeger, at disse tilladelser ikke hænger naturligt sammen med funktionerne i en AI-baseret søgeassistent. Til gengæld giver de omfattende kontrol over brugernes internettrafik.

Forskere advarer om fremtidigt misbrug

Microsoft fandt ingen tegn på, at den falske Perplexity-udvidelse forsøgte at stjæle brugernavne, adgangskoder eller godkendelsescookies.

Virksomheden advarer dog om, at de tildelte tilladelser ville gøre det let for angriberne at udvide deres aktiviteter betydeligt.

Ved at overvåge søgeadfærd og browseraktivitet kan trusselsaktører opbygge detaljerede brugerprofiler. De oplysninger kan senere bruges til målrettet annoncering, phishing, identitetstyveri eller fremtidige cyberangreb.

Forskerne vurderer desuden, at muligheden for at opsnappe trafik gav angriberne gode muligheder for at indsamle endnu flere data, hvis de havde valgt at udvide udvidelsens funktionalitet.

Brugere bør fjerne udvidelsen med det samme

Microsoft anbefaler alle, der har installeret den ondsindede udvidelse med ID flkebkiofojicogddingbdmcmkpbplcd, straks at fjerne den fra Chrome.

Som en ekstra sikkerhedsforanstaltning anbefaler virksomheden også, at berørte brugere ændrer adgangskoder til vigtige onlinekonti, især hvis browseren blev brugt, mens udvidelsen var installeret.

Hændelsen viser samtidig, hvordan cyberkriminelle fortsætter med at udnytte den stigende popularitet af AI-værktøjer. Ved at offentliggøre overbevisende falske browserudvidelser forsøger de at narre brugere til at installere malware. Derfor bør brugere altid kontrollere udviklerens navn, den officielle hjemmeside, de ønskede tilladelser og oplysningerne i Chrome Web Store, før de installerer en AI-udvidelse.


0 svar til “Falsk Perplexity-udvidelse til Chrome sporede brugernes søgeaktivitet”