57 şüpheli Chrome uzantısı altı milyon yüklemeye ulaştı

Siber güvenlik araştırmacıları, altı milyondan fazla kullanıcısı olan resmi Chrome Web Mağazası’nda 57 şüpheli uzantı keşfetti. Eklentiler dikkatlerini çekti çünkü talep ettikleri izinler açıklamalarıyla uyuşmuyordu.

Dahası, bu uzantılar “gizlidir” – yani Chrome Web Mağazası aramalarında görünmezler ve arama motorları bunları dizine eklemez. Böyle bir eklentinin yüklenmesi için Chrome Web Mağazası’na doğrudan bir bağlantı gerekir. Bu yazı, uzantıların siber suçluların elinde neden tehlikeli bir araç olabileceğine dair ayrıntılar sunmakta, yakın zamanda keşfedilen bu eklentilerin oluşturduğu doğrudan tehlikeleri izah etmekte ve nasıl mağdur olunmayacağına dair ipuçları vermektedir.

Uzantılar neden tehlikelidir ve kolaya kaçmak güvenliği nasıl zayıflatır?

Tarayıcı uzantılarının neden düşüncesizce yüklenmemesi gerektiği hakkında birçok kez yayın yaptık. Tarayıcı eklentileri genellikle kullanıcıların web sitelerindeki bilgileri çevirmek veya yazım denetimi yapmak gibi rutin görevleri hızlandırmalarına yardımcı olur; ancak, tasarruf ettiğiniz dakikalar genellikle gizlilik ve güvenlik pahasına gelir.

Bunun nedeni, etkin bir şekilde çalışmak için uzantıların genellikle tarayıcıda yaptığınız her şeye erişime ihtiyaç duymasıdır. Google Translate bile ziyaret ettiğiniz “tüm web sitelerindeki tüm verilerinizi okumak ve değiştirmek” için izin ister – yani, yalnızca çevrimiçi olarak ne yaptığınızı izlemekle kalmaz, aynı zamanda bir sayfadaki herhangi bir bilgiyi de değiştirebilir. Örneğin, orijinal metin yerine bir çeviri görüntüleyebilir. Çevrimiçi bir çeviri uygulaması bunu yapabiliyorsa, aynı erişime sahip kötü niyetli bir uzantının neler yapabileceğini bir düşünün!

Sorun şu ki, çoğu kullanıcı eklentilerin yarattığı risklerin farkında değil. Güvenilmeyen kaynaklardan gelen çalıştırılabilir dosyalar potansiyel olarak tehlikeli olarak görülürken, tarayıcı uzantılarına, özellikle resmi bir mağazadan indirilmişse, büyük bir güven duyulur.

Çok fazla gereksiz izin

Chrome Web Mağazası’nda bulunan 57 şüpheli uzantı söz konusu olduğunda, kötü niyetin ana işareti, kimlik doğrulama dahil olmak üzere çerezlere erişim gibi talep edilen izinlerin geniş kapsamlı olmasıydı.

Uygulamada bu, saldırganların kurbanların cihazlarından oturum çerezlerini çalmasına ve bu oturum çerezlerinin bir web sitesini her ziyaret ettiklerinde parola girmekten kaçınmak için kullanılmasına olanak tanır. Bu tür çerezler, dolandırıcıların sosyal ağlarda veya çevrimiçi mağazalarda kurbanların kişisel hesaplarına giriş yapmasını da sağlar.

Ayrıca, istenen izinler, kötü amaçlı uzantılara aşağıdakiler dahil olmak üzere bir dizi ilginç yetenek sağlar:

• Chrome’da kullanıcı eylemlerini izleme
• Varsayılan arama motorunu değiştirme ve arama sonuçlarını değiştirme
• Kullanıcılar tarafından ziyaret edilen sayfalara komut dosyası enjekte etme ve çalıştırma
• Kullanıcı eylemlerinin gelişmiş izlemesini uzaktan etkinleştirme

Araştırma nasıl başladı?

Siber güvenlik araştırmacısı John Tuckner, bu bağlantılardan biri olan Fire Shield Extension Protection’ının kodunu inceledikten sonra şüpheli uzantıların izini sürdü. Tuckner bu uzantıyı, ilk olarak resmi Chrome mağazasında gizli olarak yayınlandığı için fark etti. Arama sonuçlarında görünmüyordu ve yalnızca Chrome Web Mağazası’ndaki sayfaya doğrudan bir bağlantı yoluyla erişilebiliyordu.

Resmi mağazalardaki gizli uzantıların ve uygulamaların duyulmamış şeyler olmadığını unutmayın. Büyük platformlar, geliştiricilerin bunları sıradan kullanıcıların gözünden saklamasına izin verir. Böyle bir uygulama, özel kurumsal yazılım sahiplerinin koruması altındadır ve yalnızca belirli bir şirketin çalışanları tarafından kullanılmak üzere tasarlanmıştır. Bir ürünü gizlemek için bir diğer geçerli neden de ürünün henüz geliştirme aşamasında olmasıdır.

Ancak, 300.000’den fazla kullanıcıya sahip olan Fire Shield Extension Protection söz konusu olduğunda bu iki açıklama da göz ardı edilebilir. Böyle bir kullanıcı tabanına sahip geliştirme aşamasındaki özel bir kurumsal araç mı? Pek olası değil.

Dahası, eklenti özellikleri son derece uzmanlaşmış bir kurumsal çözüm profiline uymuyordu; açıklamada Fire Shield’in kullanıcı tarafından yüklenen diğer uzantılar tarafından talep edilen izinleri kontrol ettiği ve güvenli olmayan eklentiler hakkında uyarıda bulunduğu belirtiliyordu.

Bu tür görevleri yerine getirmek için, yalnızca chrome.management API‘sini kullanma iznine ihtiyacı vardı, bu da diğer yüklü eklentiler hakkında bilgi almasına ve bunları yönetmesine izin verecekti. Ancak Fire Shield çok daha geniş haklar istiyordu. Yukarıda, bu erişim seviyesiyle ilişkili tehditlerin bir açıklamasını listeledik.

57 meşru araçlar olarak gizlenmiş eklenti

Tuckner, Fire Shield Extension Protection’ı analiz ederken 35 şüpheli eklentiye daha yönlendiren bir ipucu buldu. Uzantı kodundan çıkarılan bağlantılar arasında unknow[.]com (görünüşe göre “unknown” kelimesinin yanlış yazımı) adlı bir alan adı fark etti. Bir alan adındaki yazım hatası, kurbanın fark etmeyeceğini uman dolandırıcılar tarafından kullanılan yaygın bir hile olduğundan, herhangi bir siber güvenlik uzmanı için kırmızı bayraktır.

Tuckner, özel bir araç kullanarak aynı şüpheli alan adıyla ilişkili 35 uzantı daha buldu. Uzantıların isimlerinin de pek çok ortak noktası vardı ve bu da bağlantılı olduklarını doğruluyordu. Ve hepsi de belirtilen tanımlarına uymayan geniş erişim hakları talep ediyordu.

Tuckner’ın bulduğu şüpheli uzantıların çoğu; reklamları engelleme, arama sonuçlarını iyileştirme ve kullanıcı gizliliğini koruma gibi oldukça standart bir dizi özelliğe sahipti. Ancak gerçekte birçoğu bu görevleri yerine getirecek koddan yoksundu. Bazı uzantıların hepsi aynı şirketlerden geliyordu.

Daha fazla araştırma, Tuckner’ın 22 şüpheli eklentiyi daha ortaya çıkarmasına yol açtı; bunlardan bazıları halka açıktı (yani gizli değillerdi). Aşağıda yalnızca en çok indirilen gizli uzantıları veriyoruz. Tam liste için bu bağlantıyı ziyaret edebilirsiniz.

• Fire Shield Extension Protection (300.000 kullanıcı)
• Total Safety for Chrome (300.000 kullanıcı)
• Protecto for Chrome (200.000 kullanıcı)
• Securify for Chrome (200.000 kullanıcı)
• Choose Your Chrome Tools (200.000 kullanıcı)

Sonuç

Tüm kanıtlar, saldırganların resmi mağaza moderatörleri tarafından tespit edilmemek için kötü niyetli eklentilerini gizlediğine işaret ediyor. Aynı zamanda, bu tür uzantılar genellikle arama reklamları veya kötü amaçlı siteler aracılığıyla dağıtılıyor.

Araştırmacılar, tespit edilen şüpheli uzantıların kullanıcı parolalarını veya çerezlerini çalma örneğine rastlamadı. Kod üzerinde yapılan ayrıntılı bir çalışmanın ve bir dizi deneyin ardından, kullanıcı faaliyetlerinin genişletilmiş takibinin hemen değil, uzantının yüklenmesinden bir süre sonra başladığı ve uzak bir sunucudan gelen bir komutla başlatılabildiği sonucuna vardılar.

Kodlarının doğası, uzaktan kontrol seçeneği, tekrar eden davranış kalıpları ve gömülü işlevsellikleri, uzantıların hepsinin aynı casus yazılım veya veri çalma programları ailesine ait olduğu sonucuna varmamıza neden oluyor. Bu nedenle, size şunları tavsiye ediyoruz:

• Cihazınızda şüpheli uzantılar olup olmadığını kontrol edin (tam liste için tıklayın).
• Yalnızca gerçekten ihtiyacınız olan uzantıları indirin; tarayıcınızdaki listeyi düzenli olarak kontrol edin ve kullanılmayan veya şüpheli olanları hemen silin.
• Herhangi bir tehlikeye karşı sizi zamanında uyarması için tüm cihazlarınıza güvenilir bir güvenlik çözümü yükleyin.

Tarayıcı eklentileri göründüklerinden daha tehlikelidir. Konuyla ilgili aşağıdaki yazılarımıza da göz atabilirsiniz:

• Chrome Web Mağazası’ndaki kötü amaçlı uzantılar
• Tehlikeli Chrome uzantıları
• Tarayıcı uzantıları: Sandığınızdan daha tehlikeli
• Tehlikeli tarayıcı uzantıları