Yakın tarihli bir araştırma, yaygın olarak kullanılan birkaç Google Chrome uzantısının, şifrelenmemiş HTTP bağlantıları üzerinden hassas kullanıcı verilerini ilettiğini ve milyonlarca kullanıcıyı ciddi gizlilik ve güvenlik risklerine maruz bıraktığını ortaya koydu.
Siber güvenlik araştırmacıları tarafından yayınlanan ve Symantec’in bir blog yazısında ayrıntılı olarak yayınlanan bulgular, aşağıdakiler gibi uzantıların nasıl olduğunu ortaya koymaktadır:
PI Rütbesi (ID: ccgdboldgdlngcgfdolahmiilojmfndl)
Browsec VPN (ID: omghfjlpggmjjaagoclmmobgdodcjboh)
Msn yeni sekmesi (ID: lklfbkdigihjaaeamncibechhgalldgl)
Semrush Sıralaması (ID: idbhoeaiokcojcgappfigpifhpkjgmab)
DualSafe Parola Yöneticisi ve Dijital Kasası (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc)
Kullanıcı verilerini dinleme, profil oluşturma ve diğer saldırılara kapıyı açacak şekilde kullanan başka uzantılar da vardır.
Gizliliğe söz veren uzantılar tam tersini yapıyor
Bu uzantılar meşru ve kullanıcıların web sıralamalarını izlemelerine, şifreleri yönetmelerine veya tarama deneyimlerini geliştirmelerine yardımcı olmasına rağmen, perde arkasında, şifreleme olmadan ağ istekleri yapıyorlar ve aynı ağdaki herkesin tam olarak ne gönderildiğini görmesine izin veriyorlar.
Bazı durumlarda, bir kullanıcının ziyaret ettiği alan adları, işletim sistemi bilgileri, benzersiz makine kimlikleri ve telemetri verileri gibi ayrıntıları içerir. Daha rahatsız edici, birkaç uzantının da kaynak kodlarının içinde, saldırganların kolayca yararlanabileceği değerli bir bilgi parçası olan sert kodlanmış API tuşları, sırlar ve jetonlara sahip olduğu bulundu.
Kamu ağlarında gerçek risk
Uzantılar kullanarak veri ilettiğinde HTTP yerine HTTPSbilgiler ağ boyunca düz metin olarak gider. Örneğin, bir kamu Wi-Fi ağında, kötü niyetli bir aktör bu verileri çok az çaba ile kesebilir. Daha da kötüsü, orta geçişte değiştirebilirler.
Bu, casusluk ötesine geçen saldırıların kapısını açar. Symantec’in blog yazısına göre, altı milyondan fazla kullanıcıyla popüler bir gizlilik odaklı uzantı olan Browsec VPN durumunda, kaldırma işlemi sırasında bir HTTP bitiş noktası kullanımı, kullanıcı tanımlayıcıları ve kullanım istatistiklerini şifreleme olmadan gönderir. Uzantının yapılandırması, güvensiz web sitelerine bağlanmasını sağlar ve saldırı yüzeyini daha da genişletir.
Tahtada veri sızıntıları
Diğer uzantılar da benzer konulardan suçludur. Her ikisinin de web sitesi popülaritesini göstermek için tasarlanmış Semrush Rank ve Pi Rank’ın ziyaret edilen sitelerin tam URL’lerini gönderdiği bulundu. HTTP üçüncü taraf sunuculara. Bu, bir ağ gözlemcisinin bir kullanıcının tarama alışkanlıklarının ayrıntılı günlüklerini oluşturmasını kolaylaştırır.
MSN Yeni sekmesi ve MSN ana sayfası, yüz binlerce kullanıcı ile, makine kimliklerini ve diğer cihaz ayrıntılarını iletin. Bu tanımlayıcılar zamanla sabit kalır ve rakiplerin birden fazla oturum bağlamasına ve tarama etkinliği boyunca devam eden profiller oluşturmasına izin verir.
Hassas bilgileri doğası gereği işleyen DualSafe Parola Yöneticisi bile telemetri verilerini göndererek yakalandı HTTP. Hiçbir şifre sızdırılmamış olsa da, uzantının herhangi bir kısmının şifrelenmemiş trafiği kullanması, genel tasarımı hakkında endişeleri artırıyor.
Keeper Security Güvenlik ve Mimarlık Başkan Yardımcısı Patrick Tiquet, bu konuda yorum yaptı. “Bu olay, uzatma güvenliğinde kritik bir boşluğu vurgulamaktadır – popüler krom uzantılar bile geliştiriciler köşeleri keserse kullanıcıları riske atabilir. Şifrelenmemiş HTTP ve sabit kodlayan sırlar üzerinden veri aktarmak, kullanıcıları özellikle teminatsız ağlarda profilleme, kimlik avı ve ortadaki düşman saldırılarına maruz bırakır.“
Şüphesiz kullanıcılar için sonuçları uyardı ve bunu tavsiye etti “Kuruluşlar, tarayıcı uzatma kullanımı etrafında katı kontroller uygulayarak, sırları güvenli bir şekilde yöneterek ve uç noktalarda şüpheli davranışları izleyerek derhal harekete geçmelidir.“
Gizlilik ve Veri Güvenliği Tehdidi
Her ne kadar uzantıların hiçbiri şifreleri veya finansal verileri doğrudan sızdırmamış olsa da, makine tanımlayıcılarının maruz kalması, tarama alışkanlıkları ve telemetrinin zararsız olmaktan uzaktır. Saldırganlar bu verileri web sitelerinde kullanıcıları takip etmek, hedeflenen kimlik avı kampanyaları sunmak veya kötü amaçlı amaçlar için cihaz telemetrisini taklit etmek için kullanabilir.
Teorik olsa da, NordVPN’nin son bulguları karanlık ağda 94 milyardan fazla tarayıcı çerezi gördü. Symantec tarafından vurgulanan veri sızıntıları ile birleştirildiğinde, hasar potansiyeli önemlidir.
Uzantılarının içinde sert kodlanmış API anahtarları veya sırlar içeren geliştiriciler başka bir risk katmanı ekler. Bir saldırgan bu kimlik bilgilerini alırsa, uzantıyı taklit etmek, dövme verileri göndermek ve hatta geliştiriciler için finansal maliyetlere veya hesap yasaklarına yol açan hizmet kullanımını şişirmek için kötüye kullanabilirler.
Kullanıcılar ne yapabilir
Symantec, ilgili geliştiricilerle temasa geçti ve sadece DualSafe şifre yöneticisi sorunu çözdü. Ancak, etkilenen uzantılardan herhangi birini yükleyen kullanıcıların geliştiriciler sorunları çözene kadar bunları kaldırmaları tavsiye edilir. Popüler ve iyi inceleyen uzantılar bile yıllarca fark edilmeden güvensiz tasarım seçimleri yapabilir.
HCKRead.com, bir uzantının istediği izinlerin kontrol edilmesini, bilinmeyen yayıncılardan kaçınmayı ve güvenilir bir güvenlik çözümü kullanmayı önerir. Her şeyden önce, gizlilik veya güvenlik vaat eden herhangi bir araç, verilerinizi nasıl ele aldığı konusunda dikkatle incelenmelidir.