Tarayıcı uzantıları: Asla güvenmeyin, her zaman doğrulayın

Kötü amaçlı tarayıcı uzantıları, birçok kuruluşun siber güvenlik ekipleri için önemli bir kör nokta olmaya devam etmektedir. Siber suçluların cephaneliğinde kalıcı bir yer edinen bu araçlar; oturum ve hesap hırsızlığı, casusluk, diğer suç faaliyetlerini gizleme, reklam dolandırıcılığı ve kripto para hırsızlığı için kullanılmaktalar. Kötü amaçlı uzantılarla ilgili yüksek profilli olaylar sık sık yaşanmakta; Cyberhaven güvenlik uzantısının ele geçirilmesinden, bilgi hırsızlığı uzantılarının toplu olarak yayınlanmasına kadar çeşitli olaylar meydana gelmektedir.

Uzantılar, SaaS uygulamaları ve web siteleri içindeki bilgilere geniş erişim ve izinler verildiğinden saldırganlar için caziptir. Bağımsız uygulamalar olmadıkları için, genellikle standart güvenlik ilke ve kontrol araçlarını atlatırlar.

Bir şirketin güvenlik ekibi bu sorunu sistematik bir şekilde ele almalıdır. Tarayıcı uzantılarını yönetmek için ilke yönetim araçları ile özel uzantı analiz hizmetleri veya yardımcı programlarının bir kombinasyonu gerekir. Bu konu, Athanasios Giatsos’un Security Analyst Summit 2025‘teki konuşmasının odak noktasıydı.

Web uzantılarının tehdit yetenekleri ve Manifest V3’teki yenilikler

Bir tarayıcının web uzantısı, web sayfası bilgilerine geniş erişim hakkına sahiptir; web uygulaması aracılığıyla kullanıcının erişebileceği tüm verileri okuyabilir ve değiştirebilir, buna finansal veya tıbbi kayıtlar da dahildir. Uzantılar ayrıca genellikle kullanıcılar tarafından görülmeyen çerezler, yerel depolama ve proxy ayarları gibi önemli verilere erişim sağlar. Bu, oturum ele geçirmeyi büyük ölçüde kolaylaştırır. Bazen, uzantıların yetenekleri web sayfalarının çok ötesine geçer: Kullanıcının konumuna, tarayıcı indirmelerine, masaüstü ekran görüntüsüne, pano içeriğine ve tarayıcı bildirimlerine erişebilirler.

Daha önce baskın olan uzantı mimarisinde; Chrome, Edge, Opera, Vivaldi, Firefox ve Safari’de çalışan Manifest V2 uzantıları, yetenekleri açısından tam donanımlı uygulamalardan neredeyse ayırt edilemez. Arka plan komut dosyalarını sürekli çalıştırabilir, görünmeyen web sayfalarını açık tutabilir, harici web sitelerinden komut dosyalarını yükleyip çalıştırabilir ve verileri almak veya göndermek için rastgele sitelerle iletişim kurabilirler. Olası kötüye kullanımları önlemek ve reklam engelleyicileri sınırlamak için Google, Chromium ve Chrome’u Manifest V3’e geçirdi. Bu güncelleme birçok uzantı özelliğini sınırladı veya engelledi. Uzantılar artık iletişim kurdukları tüm siteleri beyan etmek ve kalıcı arka plan komut dosyaları yerine kısa ömürlü mikro hizmetler kullanmak zorundadırlar, ayrıca dinamik olarak yüklenen üçüncü taraf kodları çalıştırmaları da yasaktır. Yeni mimari nedeniyle bazı saldırı türlerinin gerçekleştirilmesi artık daha zor olsa da, saldırganlar gizlilikten ödün vererek gerekli işlevlerin çoğunu korumak için kötü amaçlı kodlarını kolayca yeniden yazabilirler. Bu nedenle, bir kuruluş içinde yalnızca Manifest V3 altında çalışan tarayıcılara ve uzantılara güvenmek izlemeyi basitleştirir, ancak her derde deva değildir.

Ayrıca, V3 uzantılarla ilgili temel sorunu ele almamakta: uzantılar genellikle resmi uygulama mağazalarından, Google, Microsoft veya Mozilla’nın yasal alan adları kullanılarak indirilmektedir. Bu etkinlikler tarayıcı tarafından başlatılmış gibi göründüğünden, bir uzantı tarafından gerçekleştirilen eylemleri kullanıcının manuel olarak gerçekleştirdiği eylemlerden ayırt etmek son derece zordur.

Kötü amaçlı uzantılar nasıl ortaya çıkıyor?

Athanasios Giatsos, kamuoyuna yansıyan çeşitli olaylardan yola çıkarak, kötü amaçlı uzantıların ortaya çıkabileceği birkaç senaryoyu öne çıkarmaktadır:

• Orijinal geliştirici, yasal ve popüler bir uzantı satmaktadır. Alıcı daha sonra reklam gösterimi, casusluk veya diğer kötü amaçlar için kötü amaçlı kodlarla onu “geliştirir”. Örnekler arasında The Great Suspender ve Page Ruler sayılabilir.
• Saldırganlar, Cyberhaven örneğinde olduğu gibi, geliştiricinin hesabını ele geçirir ve mevcut bir uzantı için trojan içeren bir güncelleme yayınlar.
• Uzantı, başından itibaren kötü amaçlı olacak şekilde tasarlanmıştır. Ya sahte Save to Google Drive aracı gibi yararlı bir yardımcı program gibi görünür ya da mevcut düzinelerce AdBlock klonu gibi popüler uzantıların adlarını ve tasarımlarını taklit eder.
• Bu planın daha gelişmiş bir versiyonu, uzantıyı başlangıçta temiz bir durumda yayınlamayı içerir; bu durumda uzantı gerçekten yararlı bir işlev yerine getirir. Kötü amaçlı eklentiler, uzantı yeterince popüler hale geldikten birkaç hafta veya hatta birkaç ay sonra eklenir. ChatGPT for Google bunun bir örneğidir.

Tüm bu senaryolarda, uzantı Chrome Web Mağazasında yaygın olarak mevcuttur ve bazen reklamları bile yapılmaktadır. Ancak, kimlik avı sayfaları veya mesajları kurbanları herkese açık olmayan kötü amaçlı bir uzantıyı yüklemeye yönlendiren hedefli saldırı senaryoları da vardır.

Chrome Web Mağazası aracılığıyla merkezi dağıtım, tarayıcı ve uzantılar için otomatik güncellemelerle birleştiğinde, kullanıcılar genellikle farkında olmadan ve hiçbir çaba sarf etmeden kötü amaçlı bir uzantıya sahip olurlar. Bilgisayara önceden yüklenmiş bir uzantı kötü amaçlı bir güncelleme alırsa, bu güncelleme otomatik olarak yüklenir.

Kötü amaçlı uzantılara karşı kurumsal savunma mekanizmaları

Athanasios konuşmasında bir dizi genel öneride bulundu:

• Tarayıcı uzantılarının kullanımına ilişkin bir şirket ilkesi benimseyin.
• Siber güvenlik ve BT departmanları tarafından onaylanan listede açıkça belirtilmeyen tüm uzantıları yasaklayın.
• Yüklü tüm uzantıları ve sürümlerini sürekli olarak denetleyin.
• Uzantılar güncellendiğinde, bunlara verilen izinlerdeki değişiklikleri takip edin ve uzantıların veya geliştirici ekibinin sahipliğindeki değişiklikleri izleyin.
• Tarayıcı uzantılarının kullanımına ilişkin riskler ve kurallar hakkında bilgileri, tüm çalışanlara yönelik güvenlik bilinci eğitim programlarına dahil edin.

Bu önerilere birkaç pratik bilgi ve özel hususlar ekliyoruz.

Kısıtlanmış uzantı ve tarayıcı listesi: Şirketin resmi olarak onaylanmış tarayıcısında güvenlik ilkeleri uygulamakla birlikte, taşınabilir sürümlerin ve Comet gibi popüler yapay zeka tarayıcıların veya aynı tehlikeli uzantıların yüklenmesine izin veren diğer yetkisiz çözümlerin yüklenmesini yasaklamak da çok önemlidir. Bu adımı uygularken, yerel yönetici ayrıcalıklarının yalnızca BT personeli ve iş görevleri gereği bu ayrıcalıklara kesinlikle ihtiyaç duyan diğer personel ile sınırlı olduğundan emin olun.

Şirketin ana tarayıcısı için uygulanan ilke kapsamında, geliştirici modunu devre dışı bırakmalı ve yerel dosyalardan uzantı yüklemesini yasaklamalısınız. Chrome için bunu Yönetici konsolu üzerinden yönetebilirsiniz. Bu ayarlar Windows Grup İlkeleri, macOS yapılandırma profilleri veya Linux’ta bir JSON ilke dosyası aracılığıyla da kullanılabilir.

Yönetilen güncellemeler: İzin verilen uzantıların güncellemelerinin şirket genelinde hemen yüklenmesini önlemek için sürüm sabitleme özelliğini uygulayın. BT ve siber güvenlik ekipleri, onaylanmış uzantıların yeni sürümlerini düzenli olarak test etmeli ve güncellenmiş sürümleri ancak incelendikten sonra sabitlemelidir.

Çok katmanlı savunma: Kullanıcıların yetkisiz tarayıcıları başlatmasını önlemek, kötü amaçlı kimlik avı sitelerini ziyaret etme risklerini azaltmak ve kötü amaçlı yazılım indirmelerini engellemek için tüm kurumsal cihazlara bir EDR ajanı yüklemek zorunludur. Şüpheli ana bilgisayarlarla iletişim ve diğer anormallikleri gerçek zamanlı olarak tespit etmek için, güvenlik duvarı düzeyinde DNS isteklerini ve tarayıcı ağ trafiğini izlemek de gereklidir.

Sürekli izleme: EDR ve SIEM çözümlerini kullanarak çalışanların iş istasyonlarından tarayıcı durumu ayrıntılarını toplayın. Bu, yüklü her tarayıcıdaki uzantıların listesini ve sürüm ve izin analizi için manifest dosyalarını içerir. Bu, yeni uzantıların yüklenmesini veya sürümün güncellenmesini ve izin değişikliklerinin yapılmasını hızlı bir şekilde belirlemeye olanak tanır.

Tarayıcı uzantılarını nasıl inceleyebilirim?

Yukarıda bahsedilen kontrolleri uygulamak için, şirketin onaylanmış ve yasaklanmış uzantıların iç veri tabanına ihtiyacı vardır. Ne yazık ki, uygulama mağazaları ve tarayıcılar, kurumsal ölçekte bir risk değerlendirmesi yapmak veya böyle bir listeyi otomatik olarak oluşturmak için herhangi bir mekanizma sunmamaktadırlar. Bu nedenle, siber güvenlik ekibi hem bu süreci hem de listeyi oluşturmalıdır. Çalışanlar ayrıca, onaylanmış listeye uzantı eklemek için resmi bir başvuru prosedürüne ihtiyaç duyacaklardır.

İş ihtiyaçlarının ve mevcut alternatiflerin değerlendirilmesinin ilgili iş biriminin bir temsilcisi ile birlikte gerçekleştirilmesi en uygunudur. Bununla birlikte, risk değerlendirmesi tamamen güvenlik ekibinin sorumluluğunda kalmaktadır. Uzantıları manuel olarak indirip farklı uzantı mağazalarında çapraz referanslamak gerekmez. Bu görev, açık kaynaklı yardımcı programlar, ücretsiz çevrimiçi hizmetler ve ticari platformlar gibi çeşitli araçlarla gerçekleştirilebilir.

Spin.AI ve Koidex (eski adıyla ExtensionTotal) gibi hizmetler, genel risk profilini ölçmek için kullanılabilir. Her ikisi de popüler uzantıların bir veri tabanını tutar, bu nedenle değerlendirme genellikle anında yapılır. LLM’leri kullanarak uzantının özelliklerinin kısa bir özetini oluştururlar, ancak gerekli izinler, geliştiricinin profili, sürüm geçmişi, derecelendirmeler ve indirmeler dahil olmak üzere ayrıntılar da sağlarlar.

Uzantılarla ilgili temel verileri incelemek için Chrome-Stats‘ı da kullanabilirsiniz. Öncelikle uzantı geliştiricileri için tasarlanmış olsa da, bu hizmet derecelendirmeleri, yorumları ve diğer mağaza verilerini görüntüler. En önemlisi, kullanıcıların bir uzantının mevcut ve önceki birkaç sürümünü doğrudan indirebilmesini sağlar, bu da olay araştırmasını basitleştirir.

Şüpheli veya görev açısından kritik uzantıları daha derinlemesine analiz etmek için CRX Viewer gibi araçları kullanabilirsiniz. Bu araç, analistlerin uzantının iç bileşenlerini incelemelerine olanak tanır ve HTML ve JavaScript koduna odaklanarak içeriği kolayca filtreler ve görüntüler.