Uzak komutları gizlice yürüten, kullanıcı etkinliğini izleyen ve potansiyel olarak hassas bilgileri ortaya çıkaran altı milyondan fazla krom tarayıcı uzantısı kurulumunu içeren büyük bir güvenlik olayı ortaya çıktı.
Secure Anx’ten John Tuckner, birçoğu Chrome Web Store’da görülmemiş olan en az 35 ilgili uzantıyı tanımladı, bu da onları sıradan kullanıcılar için görünmez hale getirdi ve güvenlik ekiplerinin tespit etmesi zor.
Soruşturma, güvenlik profesyonellerinin, arama motorları tarafından dizine eklenmeyen veya web mağazası aramalarında görünür olmayanlar, olağandışı krom uzantılardan olağandışı etkinlik fark ettiklerinde başladı.
.png
)
Böyle bir uzatma olan “Yangın Kalkanı Uzatma Koruması”, kullanıcıları zararlı uzantılardan koruduğunu iddia etti, ancak kendisinin son derece şüpheli olduğu bulundu.
Gözetlememize rağmen, 300.000’den fazla kullanıcı vardı ve tüm web trafiğine, çerezlere, tarayıcı sekmelerine erişim ve komut dosyaları yürütme yeteneği de dahil olmak üzere geniş izinler talep etti.
Daha ileri analizler, “Yangın Kalkanı Uzatma Koruması” nın benzer davranışlar sergileyen 35 uzantı ağından sadece biri olduğunu ortaya koydu.
Bu uzantılar genellikle reklam engelleme, gizlilik koruması veya iyileştirilmiş arama sonuçları gibi hizmetler sunduğunu iddia etti, ancak gerçek kodları minimal veya işlevsel değildi.
Derin gömülü gözetim yetenekleri
Uzantıların tezahür dosyaları, belirtilen işlevleri için gerekli olanın çok ötesinde izinler talep etti. Yapabilirler:
- Ziyaret edilen herhangi bir alan için tüm çerezlere erişin ve toplayın.
- Tüm sitelerde kullanıcı web etkinliğini izleyin ve izleyin.
- ‘Yetkilendirme’ ve ‘çerezler’ dahil olmak üzere hassas tarayıcı başlıklarına erişin.
- Tarayıcı bağlamında uzak sunuculardan alınan komut dosyalarını yürütün.
- Kullanıcı etkileşimi olmadan tarayıcı sekmelerini açın ve kapatın.
En önemlisi, bu uzantılar bir uzaktan yapılandırma özelliğine sahipti. Bu, davranışlarının harici sunuculardan gelen komutlarla değiştirilmesine izin verdi ve tarayıcıyı etkili bir şekilde kontrollü bir gözetim aracına dönüştürdü.
Uzantılar komut sunucularına düzenli “kalp atışı” pingleri gönderdi ve izleme veya veri toplamalarını genişleten güncellemeler alabilir.
Bu uzantılardaki kod yoğun bir şekilde gizlendi, bu da analistlerin yeteneklerinin tam kapsamını belirlemelerini zorlaştırdı.
Bazı işlevler, yalnızca bir kullanıcı belirli bir süre için etkin olduktan sonra tetiklenebilen uzak sunuculardan belirli yapılandırmalar aldıktan sonra etkinleştirildi. Bu gecikmeli aktivasyon, uzantıların rutin güvenlik kontrolleri sırasında algılamadan kaçmasına yardımcı oldu.
Müfettişler ayrıca, bazı uzantıların özdeş kod kalıplarını ve geri arama alanlarını paylaştığını ve bunları koordineli bir operasyonun bir parçası olarak birbirine bağladığını buldular.
Bazı durumlarda, uzantılar 2019’a kadar uzanan şüpheli şirket isimleri veya gizlilik politikaları ile ilişkilendirildi ve bu da uzun süredir devam eden bir kampanyayı gösterdi.
Bu listelenmemiş uzantıların milyonlarca kurulum elde ettiği yöntem belirsizliğini koruyor. Teoriler arasında kötü niyetli reklamlar yoluyla dağıtım, diğer istenmeyen yazılımlarla bir araya gelme veya otomatik kurulum mekanizmaları yer alır.
Bazı uzantılar, Chrome Web Store’da kullanıcıları meşruiyetlerini yanlış bir şekilde sağlayabilecek “özellikli” statü bile aldı.
Kullanıcılar ne yapmalı
Güvenlik uzmanları Chrome kullanıcılarını şunlara çağırıyor:
- Aşırı izinleri veya belirsiz amaçları olan uzantıları gözden geçirin ve kaldırın.
- Tüm web sitelerine, çerezlere veya göz atma verilerine erişim isteyen uzantılara dikkat edin.
- Yalnızca saygın geliştiricilerin uzantılarını şeffaf gizlilik uygulamaları ile yükleyin.
- Kurulmuş uzantıları düzenli olarak denetleyin ve artık gerekli olmayanları kaldırın.
Google uzantılardan haberdar edildi ve bunları daha fazla araştırıyorancak kullanıcılara gizliliklerini ve güvenliklerini korumak için hemen hareket etmeleri tavsiye edilir.
Bu olay, tarayıcı uzantılarının ortaya koyduğu risklerin ve uyanık uzatma yönetimi ihtiyacının altını çizmektedir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy