Mowa tutaj konkretnie o dodatkach Add to Feedly i Tweet This Page, które zostały sprzedane przez twórców nieznanym firmom. Te natomiast wypuściły aktualizacje wzbogacające rozszerzenia o złośliwy kod, który emitował reklamy. Szacuje się, że łącznie mógł on trafić do kilkudziesięciu tysięcy użytkowników przeglądarki Google Chrome.
Całą sprawę opisał autor dodatku Add to Feedly, tłumacząc, że za projekt, na który poświęcił godzinę pracy, zaoferowano mu czterocyfrową kwotę w dolarach. Nowy właściciel zaktualizował dodatek po miesiącu od przeprowadzenia transakcji. Wówczas, według danych z Chrome Web Store, był on aktywny na ponad 30 tys. komputerów.
Do ataku na użytkowników Chrome wykorzystano lukę w systemie weryfikacji rozszerzeń w Chrome Web Store. Sklep sprawdza bowiem jedynie dodatki podczas dodawania ich do bazy, ale nie monitoruje kolejnych aktualizacji. Te natomiast są pobierane i instalowane przez przeglądarkę automatycznie, bez żadnej wiedzy oraz ingerencji internauty.
W odpowiedzi na całe zajście Google usunął oba dodatki ze sklepu Chrome Web Store. Kalifornijski gigant nie ujawnił jednak, czy zamierza podjąć jakieś kroki w celu zapobiegania podobnym sytuacjom w przyszłości.
