Węgierski specjalista - pracownik firmy Deloitte - tłumaczy, że przygotował taką aplikację aby zademonstrować, jak poważnym zagrożeniem mogą być również rozszerzenia dla przeglądarek. Zoltan Balazs zamierza zaprezentować swój "produkt" podczas konferencji Hacker Halted w Miami (rozszerzenie zostanie wtedy udostępnione w serwisie Github). Na razie program został udostępniony wyłącznie producentom oprogramowania antywirusowego, aby mogli przeanalizować nowy wektor ataku i przygotować odpowiednie zabezpieczenia.

Ekspert tłumaczy, że do tej pory złośliwe rozszerzenia do przeglądarek były wykorzystywane jedynie do bardzo prostych operacji - np. przechwytywania danych niezbędnych do logowania się czy oszustw typu clickcjack. Jego zdaniem mało kto zdaje sobie obecnie sprawę z tego, że takie rozszerzenie może zostać wykorzystana do bardziej złożonego ataku.

Dodatek opracowany przez Zoltana Balazsa może zostać wykorzystany m.in. do wykradania haseł z wbudowanych do przeglądarek menedżerów haseł, pobierania i uruchamiania plików, przechwytywania cookie, modyfikowania w locie stron wyświetlanych użytkownikowi, wykonywania screenshotów czy nawet obchodzenia dwuskładnikowego uwierzytelniania.

Balazs przygotował kilka wersji swojego programu - dla Google Chrome, Apple Safari oraz Mozilla Firefox (również Firefoksa dla Androida). Zakres funkcji poszczególnych edycji nieco się różni, ponieważ możliwości rozszerzenia są uzależnione m.in. od zabezpieczeń danej przeglądarki - to dlatego np. wersja dla Chrome nie może pobierać i uruchamiać plików. Węgier podkreśla, że możliwe jest również przygotowanie rozszerzenia współpracującego z Internet Explorerem - być może powstanie ono wkrótce.

Co ważne, zainstalowane w przeglądarce rozszerzenie może odbierać instrukcje z zewnątrz - możliwe jest więc stworzenie botnetów z komputerów z zainfekowanymi przeglądarkami.

Specjalista podkreśla, że na taki atak najbardziej narażeni będą użytkownicy Firefoksa, ponieważ umożliwia on instalowanie wtyczek z dowolnego źródła, a nie tylko z centralnego repozytorium zarządzanego przez Mozillę. W przypadku innych programów niezbędne będzie wprowadzenie złośliwej wtyczki do odpowiedniego serwisu z aplikacjami - a to może okazać się trudne (o ile jego operator weryfikuje w jakiś sposób zgłaszane oprogramowanie).