Ditemukan 287 ekstensi Chrome yang mengumpulkan data penjelajahan pengguna

 (qcontinuum.substack.com)
4 poin oleh GN⁺ 2026-02-12 | 1 komentar | Bagikan ke WhatsApp
  • Melalui pipeline pemindaian berbasis MITM (man-in-the-middle) yang otomatis, terdeteksi 287 ekstensi Chrome yang mengirim riwayat penjelajahan pengguna ke pihak luar
  • Ekstensi-ekstensi ini telah terpasang total sekitar 37,4 juta kali, setara dengan sekitar 1% pengguna Chrome di seluruh dunia
  • Praktik kebocoran data ini melibatkan broker data besar seperti Similarweb, Curly Doggo, Offidocs, Big Star Labs serta banyak perusahaan kecil lainnya
  • Hasil analisis menunjukkan beberapa ekstensi menyamarkan dan mengirim data URL menggunakan teknik enkripsi seperti ROT47, AES‑256, LZ‑string
  • Ini bukan sekadar pelanggaran privasi, tetapi ancaman serius yang dapat berkembang menjadi risiko keamanan seperti terbukanya URL intranet perusahaan dan konsol admin

Membangun pipeline pemindaian otomatis

  • Tim peneliti membangun sistem otomatis yang membungkus browser Chrome di lingkungan Docker dengan proksi MITM, lalu mengukur korelasi lalu lintas keluar berdasarkan panjang URL
    • Jika volume data yang dikirim meningkat sebanding dengan panjang URL, ekstensi tersebut dianggap mengirim URL ke luar
  • Pemindaian dilakukan dalam dua tahap dan memerlukan total 930 CPU-hari
    • Tahap pertama menguji 4 panjang URL, lalu jika rasio kecurigaan (0.1 ≤ R < 1.0) terdeteksi, dilakukan verifikasi ulang dengan 6 panjang tambahan

Deteksi dan analisis kebocoran data

  • 287 ekstensi dipastikan mengirim riwayat penjelajahan ke server eksternal
  • Total pemasangan ekstensi-ekstensi ini mencapai sekitar 37,4 juta kali, atau sekitar 1% dari pengguna Chrome global
  • Data yang bocor dikirim ke Similarweb, Curly Doggo, Offidocs, Big Star Labs dan pihak lain, dan sebagian dikumpulkan ulang melalui scraper Kontera
  • Dengan menjalankan server honeypot untuk melacak IP pengumpul data yang sebenarnya, ditemukan 5 rentang IP utama seperti HashDit, Blocksi AI Web Filter, dan Kontera yang berulang kali mengakses

Pelaku utama dan keterkaitannya

  • Melalui analisis OSINT, ditelusuri email pengembang, kebijakan privasi, dan informasi sertifikat dari masing-masing ekstensi
  • Dikonfirmasi bahwa ekstensi “Similar Sites” milik Similarweb terhubung dengan scraper Kontera serta Curly Doggo dan Offidocs
  • Big Star Labs berbagi pola kode yang sama dengan Similarweb, sehingga besar kemungkinan berada dalam organisasi yang sama

Contoh kasus kebocoran

  • Poper Blocker: menyamarkan URL dengan ROT47 lalu mengirimnya ke api2.poperblocker.com
  • Stylish: mengenkripsi URL dengan AES‑256 dan enkripsi kunci publik RSA lalu mengirimnya ke userstylesapi.com
  • BlockSite dan Video Ad Blocker Plus: mengirim URL menggunakan kompresi LZ‑string UTF16 dan memakai skema data yang sama
  • Similarweb: mengirim data penjelajahan dengan encoding URL berlapis ke rank.similarweb.com
  • WOT (Web of Trust): mengenkripsi URL dengan encoding kustom berbasis XOR, dengan struktur yang sama seperti Similarweb
  • Smarty, CrxMouse, ApkOnline, Knowee AI, Super PiP dan lainnya juga mengirim data melalui parameter URL, header, Google Analytics API, dan cara lainnya

Skala ancaman dan dampaknya

  • Sekitar 37,4 juta pengguna, setara dengan jumlah penduduk Polandia, terdampak
  • Beberapa ekstensi mungkin memang membutuhkan akses ke riwayat penjelajahan untuk fungsinya, tetapi banyak yang mengumpulkan data tanpa persetujuan eksplisit
  • Data yang bocor dapat disalahgunakan untuk penargetan iklan, spionase perusahaan, dan pembajakan sesi
    • Terutama di lingkungan perusahaan, ada risiko terbukanya URL internal milik karyawan yang memakai ekstensi “peningkat produktivitas”

Kesimpulan dan peringatan

  • Banyak dari ekstensi yang dianalisis menggunakan teknik enkripsi dan penyamaran yang disengaja untuk menghindari deteksi
  • Ini dinilai bukan sekadar bug, melainkan model bisnis berbasis pengumpulan data
  • Perlu diingat bahwa pada perangkat lunak gratis tetapi bukan open source, pengguna bisa menjadi ‘produk’
  • Saat memasang ekstensi Chrome, meninjau izin dan memeriksa asal-usulnya adalah hal yang wajib

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-12
Komentar Hacker News

  • Sekitar 15 tahun lalu, saya pernah membuat ekstensi Chrome yang hanya melakukan fungsi tertentu dan cukup populer
    Saya menjualnya seharga beberapa ribu dolar lalu melupakannya, tetapi sekarang terlihat jelas pola bahwa orang jahat membeli ekstensi normal seperti ini lalu menghasilkan uang dari data pengguna
    Saya sudah melihat sendiri beberapa kasus seperti itu

    • Saya telah memelihara ekstensi lintas-browser yang populer selama lebih dari 10 tahun, dan tawaran monetisasi tidak pernah berhenti
      Diskusi terkait dirangkum di diskusi GitHub
    • Ini adalah serangan rantai pasok (supply-chain attack) yang sangat khas
      Mirip dengan gamer yang menjual karakter level tinggi, atau akun media sosial yang berganti pemilik
      Sekarang garis depan baru keamanan ada di area seperti ekstensi browser, integrasi cloud, dan izin akses aplikasi
      Jika memberi aplikasi apa pun akses penuh ke Gmail atau Google Drive, Anda bisa terpapar ransomware
      Tidak akan ada jejak di OS lokal, dan pemindai virus juga tidak akan bisa mendeteksinya
      Prosedur pemeriksaan keamanan terlalu merepotkan, jadi mencabut akses satu per satu sangat menyiksa
      Kita butuh cara yang lebih baik
    • Jika 15 tahun lalu, mungkin itu masa ketika transaksi seperti ini baru mulai muncul
      Menjual ekstensi itu sendiri tidak bisa dicegah, tetapi prosedur verifikasi Chrome Web Store harus diperketat
    • Bahkan jika penjual tidak berniat jahat, saya rasa tetap perlu ada sebagian tanggung jawab hukum atas masalah yang muncul setelah penjualan
      Namun tanggung jawab seperti ini seharusnya dikelola bukan oleh individu, melainkan oleh operator store

  • Saya merangkum cara melindungi diri saat ekstensi yang dipercaya berubah menjadi berbahaya

    • Pantau pembaruan dengan Extensions Update Notifier dan periksa apakah kepemilikannya berubah
    • Di browser Brave, Anda bisa mengatur sendiri aturan pemfilteran trafik lewat fitur brave://flags/#brave-extension-network-blocking
    • Meng-clone repositori GitHub, lalu mengaudit keamanan dengan Claude Code, membangun sendiri, dan memperbarui secara manual juga merupakan salah satu cara
      • Menurut saya ini pendekatan yang sangat bagus
        Saya penasaran apakah ada alat untuk mengaudit codebase ekstensi secara deterministik

  • Saya hanya memakai ekstensi open source
    Saya hanya percaya pada hal seperti uBlock Origin dan SponsorBlock, yaitu yang kodenya terbuka dan pengembangnya tidak anonim
    Chrome Web Store pada dasarnya adalah pasar tanpa regulasi, dan Google hanya mengambil keuntungan
    Open source adalah pengaman minimum yang memungkinkan kita memeriksa kode sebelum memasang

    • Ekstensi open source dari pengembang non-anonim yang tepercaya memang sinyal bagus, tetapi tetap tidak ada jaminan bahwa paket yang benar-benar didistribusikan sepenuhnya sama dengan kode yang dipublikasikan
      Hal yang sama juga berlaku untuk saluran distribusi open source lain seperti pip, npm, dan rpm
    • Kalau begitu, saya penasaran bagaimana memverifikasi apakah kode ekstensi yang terpasang benar-benar cocok persis dengan kode yang dipublikasikan
    • Karena itu ada pendapat bahwa sayang sekali Tampermonkey bukan open source
      Diskusi terkait ada di diskusi GitHub
    • Kita tidak bisa mengaudit semuanya sendiri, jadi saya rasa dibutuhkan sistem verifikasi dari lembaga tepercaya
      Pendekatan “jangan percaya Google” kurang realistis dibanding “perbaiki sistemnya”
    • Mematikan pembaruan otomatis dan melakukan version lock juga aman
      Firefox atau Safari lebih mendukung pengaturan seperti ini dibanding Chrome

  • Kode sebagian besar ekstensi memang di-obfuscate, tetapi siapa pun tetap bisa melihat source code-nya
    Caranya dirangkum di tautan ini
    Saya juga mengelola ekstensi kecil yang dipakai sekitar 2.000 orang, dan saya sering menerima tawaran akuisisi untuk mengubahnya menjadi malware
    Contohnya adalah One Click Image Saver

  • Putri saya yang masih sekolah dasar memakai Google Classroom di Chromebook di sekolah, dan pembatasan ekstensi hampir tidak ada
    Setiap kali login, Chrome menampilkan notifikasi bahwa “ekstensi dihapus karena aktivitas berbahaya”

    • Bisa jadi anak saya bahkan tidak tahu bahwa sebuah ekstensi mencuri kamera atau riwayat pencariannya
      Karena itu saya merasa lebih baik hanya memakai ekstensi open source atau membuatnya sendiri
      Untuk fungsi sederhana, kita bisa menulis sendiri dengan Tampermonkey dan meninjau kodenya langsung
      Akhir-akhir ini saya juga membuat sendiri sebagian besar ekstensi yang saya pakai
      Tampermonkey memudahkan modifikasi dan peninjauan kode, serta mudah diaudit keamanannya dengan alat AI

  • Saya menonaktifkan pembaruan otomatis untuk semua perangkat lunak
    Ungkapan “kalau tidak langsung update, Anda akan diretas” itu ilusi
    Malah saya merasa kemungkinan diretas setelah update justru lebih tinggi

    • Pada akhirnya ini adalah situasi berisiko baik update maupun tidak

  • Ekstensi yang tidak tepercaya pada akhirnya sangat mungkin dijual lalu berubah menjadi malware
    Karena itu saya hanya memasang uBlock Origin

    • Saya juga mengelola ekstensi yang dipakai lebih dari 100.000 orang, dan saya menerima ratusan email tawaran akuisisi
      Semuanya datang ke alamat email publik yang diwajibkan Google
      Tidak ada satu pun email yang benar-benar berguna
      Karena itu saya hanya percaya pada uBlock Origin, Bitwarden, dan ekstensi buatan saya sendiri
      Contohnya adalah Old Reddit Redirect
    • Saya juga hanya memakai uBlock Origin
      Dulu saya memakai Tree Style Tab, tetapi sekarang Firefox mendukung tab vertikal secara bawaan, jadi tidak diperlukan lagi
      Memasang ekstensi baru terlalu berisiko
    • Sebagai catatan, proyek asli uBlock pernah berpindah ke tangan orang yang tidak tepercaya,
      lalu pengembang Raymond Hill membuat fork baru

  • Banyak ekstensi mengumpulkan parameter URL seperti "u": "https://www.google.com/search?q=target"; dari kueri pencarian
    Ini berarti mereka bisa mencuri bahkan token autentikasi, bukan sekadar riwayat penelusuran

    • Jika suatu layanan mengirim token autentikasi lewat parameter URL, sebaiknya jangan gunakan layanan itu sama sekali
      Token seperti itu pada dasarnya selalu dalam keadaan terbuka

  • Saya heran kenapa Google, salah satu perusahaan terkaya di dunia, tidak langsung menyelesaikan masalah seperti ini
    Mereka begitu giat memblokir ad blocker, tetapi yang seperti ini justru dibiarkan

    • Mungkin saja Google memang sudah mengetahui masalah ini
      Kalau begitu, pertanyaan yang lebih penting adalah “mengapa tidak diungkapkan?”

  • Dibagikan perintah untuk menampilkan semua ID ekstensi Chrome yang terpasang di macOS

    find "$HOME/Library/Application Support/Google/Chrome" \
  -type d -path "*/Extensions/*" -not -path "*/Extensions/*/*" \
  -print 2>/dev/null | sed 's#.*/Extensions/##' | sort -u

    Hasilnya bisa dibandingkan dengan daftar ekstensi berbahaya