
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Rozszerzenia przeglądarek należą do najbardziej uprzywilejowanych elementów środowiska użytkownika. Mogą uzyskiwać dostęp do odwiedzanych stron, modyfikować ruch sieciowy i przetwarzać dane sesyjne, dlatego każda ukryta funkcja wykraczająca poza deklarowane zastosowanie stanowi istotne ryzyko dla bezpieczeństwa i prywatności. Przypadek ModHeader pokazuje, że nawet popularne i powszechnie używane narzędzie może zawierać mechanizmy, których użytkownik nie jest świadomy.
W skrócie
Google i Microsoft usunęły rozszerzenie ModHeader ze swoich sklepów po ujawnieniu, że oficjalna wersja dodatku zawierała ukryty, domyślnie nieaktywny mechanizm zbierania historii przeglądania. Według analizy badaczy kod miał umożliwiać tworzenie odcisku urządzenia, lokalne gromadzenie zaszyfrowanych domen odwiedzanych przez użytkownika oraz ich okresową wysyłkę do zewnętrznej infrastruktury.
- rozszerzenie było dostępne w oficjalnych kanałach dystrybucji,
- skala instalacji sięgała około 1,6 mln,
- mechanizm zbierania danych był obecny w podpisanej wersji produktu,
- warunek aktywacji był wyłączony w chwili analizy, ale pełny łańcuch zbierania danych istniał w kodzie.
Kontekst / historia
ModHeader od lat był wykorzystywany przez deweloperów, testerów aplikacji i specjalistów bezpieczeństwa do modyfikowania nagłówków HTTP. Tego typu narzędzia są przydatne przy debugowaniu, testach API, walidacji polityk CORS oraz analizie ruchu aplikacyjnego. Jednocześnie ich szerokie uprawnienia sprawiają, że są szczególnie atrakcyjnym celem nadużyć.
Według ustaleń badaczy analizowana wersja była autentyczna i pochodziła z oficjalnego kanału publikacji. Microsoft usunął listing rozszerzenia 3 lipca 2026 roku, a Google 10 lipca 2026 roku. Incydent wpisuje się w szerszy trend przejmowania lub modyfikowania popularnych rozszerzeń po zbudowaniu dużej bazy użytkowników, a następnie dodawania funkcji trackingowych, reklamowych lub potencjalnie szkodliwych.
W tle sprawy pojawiały się już wcześniej sygnały ostrzegawcze dotyczące zachowania ModHeader, w tym zarzuty związane z niepożądaną ingerencją w treści przeglądane przez użytkownika. Najnowsze ustalenia wzmacniają obawy dotyczące zaufania do dodatków o wysokich uprawnieniach.
Analiza techniczna
Najważniejszym ustaleniem było odkrycie dodatkowego toru działania ukrytego obok legalnej funkcji modyfikowania nagłówków HTTP. Rozszerzenie wykonywało deklarowane zadanie, ale równolegle zawierało kod umożliwiający zbieranie danych o aktywności użytkownika.
Badacze opisali następujący łańcuch operacji:
- utworzenie odcisku urządzenia przy pierwszym uruchomieniu,
- załadowanie osadzonego klucza szyfrującego,
- pobieranie domen odwiedzanych witryn,
- szyfrowanie i lokalne zapisywanie domen,
- buforowanie do 1000 unikalnych wpisów,
- cykliczne przygotowanie pakietu danych do wysyłki raz dziennie,
- czyszczenie lokalnych danych po transmisji.
Mechanizm był aktywowany warunkowo. W analizowanym momencie lista środowisk dopuszczonych do uruchomienia zbierania danych była pusta, dlatego pełna eksfiltracja nie następowała. Z punktu widzenia bezpieczeństwa nie oznacza to jednak braku zagrożenia. Sam fakt obecności kompletnej funkcji w zainstalowanym dodatku oznacza, że mogła zostać aktywowana później przez aktualizację, bez nowych zgód użytkownika i bez zmiany deklarowanych uprawnień.
Dodatkowo część telemetrii miała pozostawać aktywna niezależnie od uśpionego modułu. Rozszerzenie miało komunikować się z określonym adresem przy instalacji, aktualizacji i usunięciu, przekazując metadane o produkcie, wersji i przeglądarce. Osobny skrypt wykonywany na odwiedzanych stronach zapisywał także lokalnie wybrane informacje o żądaniach.
Technicznie był to model utrudniający wykrycie przez standardowe systemy analityczne:
- kod znajdował się w legalnym, popularnym rozszerzeniu,
- funkcjonalność została ukryta i zminimalizowana,
- dane szyfrowano przed zapisaniem i transmisją,
- warunkowa aktywacja ograniczała szansę wykrycia w analizie dynamicznej,
- infrastruktura sieciowa mogła nie mieć wcześniej negatywnej reputacji.
Konsekwencje / ryzyko
Największe ryzyko dotyczy użytkowników, którzy korzystali z ModHeader podczas pracy z wrażliwymi danymi. Rozszerzenia do edycji nagłówków często mają kontakt z tokenami Bearer, kluczami API, ciasteczkami sesyjnymi oraz niestandardowymi nagłówkami autoryzacyjnymi. Nawet jeśli głównym celem analizowanego mechanizmu była historia przeglądania, zapis metadanych i kontekst ruchu sieciowego mogą stanowić cenne źródło informacji dla atakującego.
Dla organizacji incydent jest przypomnieniem, że obecność rozszerzenia w oficjalnym sklepie i jego wysoka popularność nie stanowią gwarancji bezpieczeństwa. Szczególnie niebezpieczna jest sytuacja, w której dodatki są instalowane na stacjach administratorów, deweloperów, zespołów SOC, DevOps lub QA mających dostęp do środowisk produkcyjnych i paneli zarządzania.
- możliwe jest zwiększone ryzyko wycieku danych o aktywności użytkownika,
- telemetria może wspierać profilowanie urządzeń i użytkowników,
- kompromitacja dodatku może pośrednio ułatwiać dalsze ataki na zasoby firmowe,
- aktualizacje rozszerzeń mogą istotnie zmieniać profil ryzyka bez zauważalnych zmian dla użytkownika.
Rekomendacje
Przypadek ModHeader należy traktować jako sygnał do przeglądu polityki bezpieczeństwa dotyczącej rozszerzeń przeglądarkowych. Działania powinny objąć zarówno użytkowników indywidualnych, jak i zespoły IT odpowiedzialne za zarządzanie punktami końcowymi.
- natychmiast usunąć ModHeader ze wszystkich przeglądarek firmowych i prywatnych używanych do pracy,
- sprawdzić, czy dodatek nie zostanie automatycznie przywrócony przez synchronizację profilu lub polityki zarządzania,
- zidentyfikować urządzenia, na których rozszerzenie było zainstalowane,
- zrotować sekrety używane w nagłówkach HTTP, w tym tokeny, klucze API i dane sesyjne,
- przeanalizować logi sieciowe i dane EDR pod kątem aktywności powiązanej z rozszerzeniem,
- wdrożyć listy dozwolonych rozszerzeń i ograniczyć samodzielną instalację dodatków,
- regularnie audytować aktualizacje rozszerzeń oraz zmiany ich właścicieli i zachowania.
Podsumowanie
Usunięcie ModHeader przez Google i Microsoft to ważny sygnał ostrzegawczy dla całego ekosystemu przeglądarek. Sprawa pokazuje, że nawet legalne, podpisane i szeroko stosowane rozszerzenie może zawierać kompletny mechanizm zbierania i potencjalnej eksfiltracji danych. Najważniejszy wniosek jest prosty: ocena bezpieczeństwa dodatków nie może opierać się wyłącznie na reputacji, liczbie instalacji i obecności w oficjalnym sklepie. Konieczne są kontrola uprawnień, monitoring aktualizacji oraz regularny przegląd rozszerzeń używanych w środowiskach o podwyższonym poziomie zaufania.