Zranitelnost v Chromu umožňuje zvýšit oprávnění škodlivým doplňkům skrze Gemini AI

Bezpečnostní experti odhalili kritickou chybu v prohlížeči Google Chrome, která útočníkům otevírala zadní vrátka k citlivým datům uživatelů. Chyba se týkala nového postranního panelu s umělou inteligencí Gemini, který Google do prohlížeče integroval teprve nedávno. Útok, příznačně pojmenovaný „GlicJack“, ukazoval, jak se moderní AI asistenti mohou stát dvousečnou zbraní v rukou hackerů.

Nebezpečná zranitelnost v Chrome

Zranitelnost, označená jako CVE-2026-0628, spočívala v nedostatečné kontrole pravidel v komponentě WebView, kterou Chrome používá k zobrazování webových aplikací uvnitř svého rozhraní. Představte si to, jako byste si do domu nainstalovali moderní bezpečnostní systém, ale zapomněli jste, že ovládací panel je propojený se starým zámkem u zadních vratek, o kterém nikdo nevěděl.

Útočníkovi stačilo jediné: přesvědčit uživatele k instalaci zdánlivě neškodného doplňku. Tento doplněk pak mohl do privilegovaného panelu Gemini propašovat vlastní kód. Protože má Gemini k plnění svých úkolů přístup k široké škále oprávnění, získal je rázem i útočník. Výsledkem byl nekontrolovaný přístup k:

• místním souborům uloženým ve vašem počítači;
• kameře a mikrofonu bez vědomí uživatele;
• snímkům obrazovky libovolné webové stránky, kterou jste zrovna prohlíželi.

Zdroj: The Hacker News

AI jako nová brána pro staré hrozby

Za objevem stojí výzkumník Gal Weizman ze společnosti Palo Alto Networks, který na chybu upozornil v listopadu loňského roku. Podle něj integrace AI agentů přímo do jádra prohlížeče oživuje klasická bezpečnostní rizika v novém, nebezpečnějším měřítku. AI asistenti totiž potřebují vidět, co v prohlížeči děláte, aby vám mohli radit nebo shrnovat texty.

Kámen úrazu nastal ve chvíli, kdy vývojáři zapomněli omezit určité rozhraní (API), které běžně využívají například blokátory reklam. Útočník mohl toto rozhraní zneužít k tomu, aby AI asistentovi podstrčil instrukce, které by prohlížeč jinak zablokoval. AI se pak nechtěně stala prostředníkem, který za hackera vykonal „špinavou práci“.

Oprava je k dispozici, ale obezřetnost zůstává

Google na nahlášenou chybu reagoval a začátkem ledna vydal opravu ve verzi 143.0.7499.192 (a novějších). Pokud svůj prohlížeč pravidelně aktualizujete, měli byste být v bezpečí. Celý případ však slouží jako varování, že instalace doplňků z neověřených zdrojů je stále jednou z největších slabin zabezpečení. I doplněk se základními oprávněními mohl díky této logické chybě v systému ovládnout funkce, ke kterým by se za normálních okolností nikdy nedostal.

Zdroj: thehackernews.com

Domů » Články » Zranitelnost v Chromu umožňuje zvýšit oprávnění škodlivým doplňkům skrze Gemini AI

💡ANKETA: Používáte ve svém hlavním telefonu klasickou fyzickou SIM kartu, nebo novější eSIM?

• Jen klasickou fyzickou SIM kartu
• Jen eSIM
• Kombinuji obojí
• Můj mobil eSIM podporuje, ale nepoužívám
• Nemám mobil s eSIM

 Nahrávání ...

Jakub Sobotka

Senior Editor jehož vášní jsou AI, mobilní technologie a vše kolem IT. Ve volném čase rád sportuje, čte, nebo se toulá přírodou. Ač uživatel Apple platformy, dobře si rozumí i s Androidem.