6.000.000 kullanıcısı olan 57 krom uzantısı, tarama davranışını izleme, alan adları için çerezlere erişme ve potansiyel olarak uzak komut dosyalarını yürütme gibi çok riskli yeteneklere sahip keşfedildi.
Bu uzantılar ‘gizlidir’, yani Chrome Web Store aramalarında görünmezler veya arama motorları dizine eklemezler ve yalnızca kullanıcının doğrudan URL’si varsa yüklenebilir.
Tipik olarak, bu tür uzantılar dahili şirket araçları veya halen geliştirilmekte olan eklentiler gibi özel yazılımlardır. Yine de, tehdit aktörleri onları reklamlar ve kötü niyetli sitelerden agresif bir şekilde iterken tespitten kaçınmak için kullanıyor olabilir.
Riskli krom uzantılar
Uzantılar, iddia ettiklerini inceledikten sonra ilk 35’i ortaya çıkaran güvenli Ek Araştırmacı John Tuckner tarafından keşfedildi.
Uzatma yoğun bir şekilde gizlenir ve tarayıcıdan toplanan bilgileri göndermek için bir API’ya geri arama içerir.
Kaynak: Güvenli Ek
Uzatmada yer alan “Unknown.com” adlı bir alan aracılığıyla Tuckner, reklam engelleme veya gizlilik koruma hizmetleri sağladığı iddiasında bulunan aynı alanı içeren ek uzantılar buldu.
.jpg)
Kaynak: Güvenli Ek
Bununla birlikte, bunların hepsi aşağıdaki eylemleri gerçekleştirmelerine izin veren aşırı geniş izinler içerir:
- Hassas başlıklar dahil erişim çerezleri (örn. ‘Yetkilendirme’)
- Kullanıcı tarama davranışını izleyin
- Arama sağlayıcılarını (ve sonuçları) değiştirin
- IFrames aracılığıyla ziyaret edilen sayfalarda uzak komut dosyalarını enjekte edin ve yürütün
- Gelişmiş izlemeyi uzaktan etkinleştirin
Tuckner, kullanıcı şifrelerini veya çerezleri çalan herhangi bir uzantıyı yakalamasa da, aşırı riskli yetenekler, yoğun bir şekilde gizlenmiş kod ve gizli mantık, araştırmacının bunları riskli ve potansiyel olarak casus yazılım olarak etiketlemesi için yeterliydi.
Tuckner, “Diğer işlevlerde, ziyaret edilen en iyi siteleri listeleme, açma/kapatma, en iyi siteleri ziyaret etme ve yukarıdaki yeteneklerin çoğunu geçici bir şekilde çalıştırma gibi önemli komut ve kontrol potansiyeli olduğu ek gizlenmiş sinyaller vardır.”
“Bu yeteneklerin birçoğu doğrulanmadı, ancak yine de, sizi kötü niyetli uzantılardan korumak gibi basit şeyler yaptığını iddia eden 35 uzantmada bu yeteneğin varlığı oldukça ilgili.”
Kaynak: Güvenli Ek
Bugün erken saatlerde, araştırmacı, aynı operasyona ait olduğuna inanılan 22 uzantıyı daha ekleyerek toplamı 6 milyon kişi tarafından kullanılan 57 uzantıya aldı. Yeni eklenen uzantılardan bazıları da herkese açıktır.
Tuckner, uzantıların birçoğunun geçen haftaki raporunun ardından Chrome web mağazasından kaldırıldığını, ancak diğerlerinin hala kaldığını söylüyor.
Kaynak: BleepingComputer
Tam liste, aşağıda listelenen en yüksek indirme sayımlarına sahip olanlar burada mevcuttur:
- Cuponomia – Kupon ve Cashback (700.000 kullanıcı, genel)
- Yangın Kalkanı Uzatma Koruması (300.000 kullanıcı, sevilmemiş)
- Chrome ™ için Toplam Güvenlik (300.000 kullanıcı, sevilmemiş)
- Chrome ™ için Protecto (200.000 kullanıcı, sevilmemiş)
- Chrome için tarayıcı gözlemcisi (200.000 kullanıcı, genel)
- Chrome ™ için Securify (200.000 kullanıcı, sevilmemiş)
- Doktor tarafından Chrome için Tarayıcı Kontrolü (200.000 kullanıcı, genel)
- Krom Araçlarınızı Seçin (200.000 kullanıcı, sevilmemiş)
Yukarıda yüklü olanlardan herhangi biriniz varsa, bunları hemen kaldırmanız ve çok sayıda dikkatle, çevrimiçi hesaplarda şifre sıfırlamalarını gerçekleştirmeniz önerilir.
Google, BleepingComputer’a Tuckner’ın raporunun farkında olduklarını ve uzantıları araştırdıklarını söyledi.
BleepingComputer, bu uzantıların geliştiricisiyle obfucated kod hakkında sorularla temasa geçti, ancak şu anda bir cevap almadı.