Die von Zargarov entdeckten Anwendungen verfolgen unterschiedliche Strategien. Einige imitieren bekannte Chatbot-Apps direkt, andere setzen auf bloße Markenassoziation. Sie nutzen die Vertrautheit der Nutzer mit bekannten Modellnamen sowie die Annahme aus, dass die Bezeichnung „KI-Assistent" eine Verbindung zu großen Anbietern nahelege. Besonders glaubwürdig wirke dies, wenn die Verbreitung über den offiziellen Chrome Web Store erfolge.
Wird eine dieser Erweiterungen installiert, erscheint die Nutzererfahrung zunächst völlig normal. Die Erweiterung legt ein Symbol in der Symbolleiste an, und beim Anklicken öffnet sich die erwartete Chat-Oberfläche. Gibt der Nutzer eine Eingabe ein, erhält er eine plausible, KI-generierte Antwort zurück.
Technisch verbirgt sich dahinter jedoch ein Täuschungsmanöver: Die Chat-Oberfläche ist ein bildschirmfüllendes iframe, das auf eine von den Angreifern kontrollierte Domain verweist und über die aktuelle Seite gelegt wird. Übermittelt das Opfer eine Eingabe, läuft diese über den Server der Angreifer. Dieser kann die API eines echten großen Sprachmodells als Proxy nutzen und eine plausible Antwort zurückliefern – während er zugleich die übermittelten, oft hochsensiblen Informationen abgreift.
Zargarov schildert ein Beispielszenario: Ein Mitarbeiter installiert eine solche Erweiterung und öffnet ein CRM-System mit Kundennamen, Kontaktdaten und Transaktionshistorie. Klickt er auf „Zusammenfassen", liest die Erweiterung den Seiteninhalt aus, übermittelt ihn an die Server der Angreifer und liefert eine Zusammenfassung zurück, während der vollständige Datensatz möglicherweise remote gespeichert bleibt. Der Mitarbeiter sieht nur eine harmlose Zusammenfassung – tatsächlich können Kundendaten außerhalb der Unternehmenskontrolle landen, Geschäftsgeheimnisse abfließen oder regulierte Daten konforme Systeme verlassen. Daraus ergeben sich Risiken durch den Verlust geistigen Eigentums, durch Regelverstöße und durch Folgeangriffe.
Einige der Anwendungen erreichten beträchtliche Verbreitung. Gefälschte Werkzeuge wie „Gemini AI Sidebar", „ChatGPT Translate" sowie die allgemeiner benannten „AI Sidebar", „AI Assistant" und „AI GPT" kamen jeweils auf zehntausende Downloads. Viele dieser Apps – darunter ChatGPT Translate, AI Sidebar und AI Assistant – waren laut LayerX zum Redaktionsschluss noch verfügbar, mehr als 24 Stunden nach Veröffentlichung des Blogbeitrags. Sie verfügen über zahlreiche Bewertungen mit Durchschnittswerten von mehr als vier Sternen, und einige wurden vom Chrome Web Store mit einem grünen „Featured"-Etikett hervorgehoben.
Google nimmt Zargarov dabei teilweise in Schutz. Bei vielen dieser Erweiterungen liege die eigentliche Logik in einer entfernten Webanwendung, die über ein iframe geladen werde. Das schädliche oder die Privatsphäre verletzende Verhalten finde außerhalb der Plattform statt, und die Erweiterung selbst fordere unter Umständen nur minimale Berechtigungen. Dadurch könne eine Erweiterung bei der Prüfung regelkonform erscheinen – mit sauberen Metadaten, wenig lokalem Code und ohne auffällige Warnzeichen in der statischen Analyse. Solange Google Netzwerk-Endpunkte, geteilte TLS-Zertifikate, wiederverwendete Hosting-Anbieter und identische, remote geladene JavaScript-Bündel nicht eingehend analysiere, könnten verwandte Erweiterungen der Entdeckung entgehen. Von außen betrachtet, so Zargarov, deute diese Kampagne darauf hin, dass eine erweiterungsübergreifende Korrelation entweder begrenzt sei oder nicht priorisiert werde. Dark Reading bat Google um eine Stellungnahme.
