Google, arama sonuçlarını değiştirebilecek ve spam veya istenmeyen reklamları gönderebilecek 32 kötü amaçlı uzantıyı Chrome Web Mağazası’ndan kaldırdı. Toplu olarak, 75 milyon indirme sayısıyla geliyorlar.
Uzantılar, kullanıcıları, yükleri teslim etmek için karartılmış kodla gelen kötü niyetli davranışlardan habersiz tutmak için meşru işlevlere sahipti.
Siber güvenlik araştırmacısı Wladimir Palant, Chrome Web Mağazası’ndan edinilebilen PDF Araç Kutusu uzantısını (2 milyon indirme) inceledi ve meşru bir uzantı API paketleyicisi olarak gizlenmiş kod içerdiğini buldu.
Araştırmacı, Mayıs ayı ortalarında yazdığı bir yazıda, kodun “serasearchtop[.]com” etki alanı, kullanıcının ziyaret ettiği herhangi bir web sitesine isteğe bağlı JavaScript kodu enjekte etmek için.
Kötüye kullanım potansiyeli, web sayfalarına reklam eklemekten hassas bilgileri çalmaya kadar değişir. Ancak Palant herhangi bir kötü amaçlı etkinlik gözlemlemedi, bu nedenle kodun amacı belirsizliğini korudu.
Araştırmacı ayrıca kodun, genellikle kötü niyetli niyetlerle ilişkilendirilen bir davranış olan uzantı yüklendikten 24 saat sonra etkinleştirilmek üzere ayarlandığını da fark etti.
Palant, birkaç gün önce, toplam indirme sayısı 55 milyon olan başka bir 18 Chrome uzantısında aynı şüpheli kodu bulduğunu bildiren bir takip gönderisi yayınladı. Bazı örnekler şunları içerir:
- Youtube için Autoskip – 9 milyon aktif kullanıcı
- Soundboost – 6,9 milyon aktif kullanıcı
- Kristal Reklam bloğu – 6,8 milyon aktif kullanıcı
- Brisk VPN – 5,6 milyon aktif kullanıcı
- Pano Yardımcısı – 3,5 milyon aktif kullanıcı
- Maxi Tazeleme – 3,5 milyon aktif kullanıcı
Palant ikinci gönderiyi yayınladığında, tüm uzantılar Chrome Web Mağazası’nda hâlâ mevcuttu.
Araştırmasına devam eden Palant, kodun iki çeşidini buldu: biri Mozilla’nın WebExtension tarayıcı API’si Polyfill kılığına giriyor, diğeri Day.js kitaplığı kılığına giriyor.
Ancak, her iki versiyon da serasearchtop’u içeren aynı isteğe bağlı JS kod enjeksiyon mekanizmasına sahipti.[.]com.
Araştırmacı herhangi bir açık kötü niyetli etkinlik gözlemlememesine rağmen, Web Mağazasında uzantıların yeniden yönlendirmeler ve arama sonuçlarını ele geçirme eylemleri gerçekleştirdiğini gösteren çok sayıda kullanıcı raporu ve incelemesi olduğunu kaydetti.
Şüpheli uzantıları Google’a bildirme girişimlerine rağmen, bu uzantılar, Chrom Web Mağazası’ndan kullanıcılara sunulmaya devam etti.
Ancak bugün erken saatlerde, siber güvenlik şirketi Avast, uzantıların kötü amaçlı olduğunu doğruladıktan sonra Google’a bildirdiğini ve listeyi 32 girişe çıkardığını söyledi. Toplu olarak, bunlar 75 milyon kurulumla övündü.
Avast, uzantıların şüphelenmeyen kullanıcılara zararsız görünse de, sponsorlu bağlantıları ve ücretli sonuçları görüntülemek için arama sonuçlarını ele geçiren, hatta bazen kötü amaçlı bağlantılar sunan reklam yazılımları olduğunu söylüyor.
Avast bulgularını yayınlamadan önce BleepingComputer’dan gelen bir yorum talebine yanıt veren bir Google sözcüsü, “rapor edilen uzantıların Chrome Web Mağazası’ndan kaldırıldığını” söyledi.
“Uzantılara yönelik güvenlik ve gizlilik iddialarını ciddiye alıyoruz ve politikalarımızı ihlal eden uzantılar bulduğumuzda uygun önlemleri alıyoruz.”
Google temsilcisi, BleepingComputer’a “Chrome Web Mağazası, kullanıcıları güvende tutmak için tüm geliştiricilerin uyması gereken politikalara sahiptir” dedi.
Avast, dünya çapında on binlerce ve potansiyel olarak milyonlarca müşterisini hedefleyen uzantıların önemli etkisini vurguluyor.
Avast, müşterileri için uzantılar içindeki yalnızca kötü amaçlı öğeleri seçici olarak etkisiz hale getirerek meşru özelliklerin kesintiye uğramadan çalışmaya devam etmesine izin verdi.
75 milyon indirme endişe verici görünse de, şirket bu sayının “yapay olarak şişirildiğinden” şüpheleniyor. Kötü amaçlı uzantıların (ID’ler) tam listesi Avast’ın raporunda bulunabilir.
Kullanıcılar, uzantıların Chrome Web Mağazası’ndan kaldırılmasının uzantıları tarayıcılarından otomatik olarak devre dışı bırakmadığını veya kaldırmadığını, bu nedenle riski ortadan kaldırmak için manuel işlem yapılması gerektiğini unutmamalıdır.