XeaeX
New member
McAfee’den güvenlik tehdidi araştırmacıları, kullanıcıların tarama datalarını izleyen beş Google Chrome uzantısı ortaya çıkardı. Kelam konusu Chrome eklentileri, şimdiye kadar 1 milyondan fazla defa indirildi.
Google Chrome tarayıcısı için acil bir güncelleme yayınlandı
1 hf. evvel eklendi
1 milyondan fazla defa indirildi
McAfee’nin tespit ettiği ziyanlı Chrome uzantıları içinde; Netflix Party, FlipShope (fiyat takibi), Full Page Screenshot Capture – Screenshotting (tam sayfa ekran imajı alma) ve AutoBuy Flash Sales var. Bu Google Chrome eklentilerinden her biri 20.000’in üzerinde indirmeye, toplamda 1.4 milyon indirmeye sahip.
Zararlı Chrome eklentileri nasıl çalışıyor?
Bu Chrome eklentileri hakikaten dediklerini yapıyor lakin kullanıcının fark edemeyeceği, saklılık riski oluşturan süreçler gerçekleştiriyor. McAfee tarafınca ortaya çıkarılan beş uzantı da benzeri bir davranış sergiliyor.
Uzantının sistemde nasıl davranacağını belirleyen web uygulaması bildirimi (“manifest.json” dosyası), tarama datalarını berbat niyetli kişinin denetiminde olan domaine (“langhort[.]com”) gönderen fonksiyonel bir script (B0.js) yüklüyor. Kullanıcı, her yeni siteye girişinde POST istekleri aracılığıyla veriler iletiliyor. Dolandırıcıya ulaşan bilgiler, base64 biçimindeki URL, kullanıcı kimliği, aygıt konumu (ülke, kent, posta kodu) ve şifreli yönlendirme URL’sini içeriyor. Girilen web sitesi, uzantıyı geliştiren kişininin faal üyeliği olan web sitelerinden rastgele biriyle eşleşirse, sunucu B0.js’ye iki mümkün fonksiyondan biriyle karşılık veriyor; İlki, “Result[‘c’] – passf_url”, scripte sağlanan URL’yi (referral link) girilen web sitesinde iframe olarak eklemesi komutunu veriyor. İkincisi, “Result[‘e’] setCookie”, B0.js’ye çerezi değiştirmesi yahut uzantıya bu aksiyonu gerçekleştirmek için ilgili müsaadeler verilmişse sağlanan çerezle değiştirmesi komutunu veriyor.
McAfee, URL ve çerez değişikliklerinin gerçek vakitli olarak nasıl gerçekleştiğini gösteren bir görüntü da yayınladı:
Bu Chrome uzantılarını kaldırın
Google, yeni Manifest V3 standardıyla berbat maksatlı uzantıları ortadan kaldırmak için çalışıyor. Manifest V3, eski Manifest V2 teknolojisiyle karşılaştırıldığında, eklentilerin hangi sayfalara erişebileceği konusunda kullanıcıya daha fazla denetim veriyor. Manifest V3, uzakta barındırılan kodları da engelliyor lakin bu, kâfi değil. Şu anda kullanıcıların ilgili uzantıları Chrome tarayıcılarından kaldırmaları tavsiye ediliyor:
Google Chrome tarayıcısı için acil bir güncelleme yayınlandı
1 hf. evvel eklendi
1 milyondan fazla defa indirildi
McAfee’nin tespit ettiği ziyanlı Chrome uzantıları içinde; Netflix Party, FlipShope (fiyat takibi), Full Page Screenshot Capture – Screenshotting (tam sayfa ekran imajı alma) ve AutoBuy Flash Sales var. Bu Google Chrome eklentilerinden her biri 20.000’in üzerinde indirmeye, toplamda 1.4 milyon indirmeye sahip.
Zararlı Chrome eklentileri nasıl çalışıyor?
Bu Chrome eklentileri hakikaten dediklerini yapıyor lakin kullanıcının fark edemeyeceği, saklılık riski oluşturan süreçler gerçekleştiriyor. McAfee tarafınca ortaya çıkarılan beş uzantı da benzeri bir davranış sergiliyor.
Uzantının sistemde nasıl davranacağını belirleyen web uygulaması bildirimi (“manifest.json” dosyası), tarama datalarını berbat niyetli kişinin denetiminde olan domaine (“langhort[.]com”) gönderen fonksiyonel bir script (B0.js) yüklüyor. Kullanıcı, her yeni siteye girişinde POST istekleri aracılığıyla veriler iletiliyor. Dolandırıcıya ulaşan bilgiler, base64 biçimindeki URL, kullanıcı kimliği, aygıt konumu (ülke, kent, posta kodu) ve şifreli yönlendirme URL’sini içeriyor. Girilen web sitesi, uzantıyı geliştiren kişininin faal üyeliği olan web sitelerinden rastgele biriyle eşleşirse, sunucu B0.js’ye iki mümkün fonksiyondan biriyle karşılık veriyor; İlki, “Result[‘c’] – passf_url”, scripte sağlanan URL’yi (referral link) girilen web sitesinde iframe olarak eklemesi komutunu veriyor. İkincisi, “Result[‘e’] setCookie”, B0.js’ye çerezi değiştirmesi yahut uzantıya bu aksiyonu gerçekleştirmek için ilgili müsaadeler verilmişse sağlanan çerezle değiştirmesi komutunu veriyor.
McAfee, URL ve çerez değişikliklerinin gerçek vakitli olarak nasıl gerçekleştiğini gösteren bir görüntü da yayınladı:
Bu Chrome uzantılarını kaldırın
Google, yeni Manifest V3 standardıyla berbat maksatlı uzantıları ortadan kaldırmak için çalışıyor. Manifest V3, eski Manifest V2 teknolojisiyle karşılaştırıldığında, eklentilerin hangi sayfalara erişebileceği konusunda kullanıcıya daha fazla denetim veriyor. Manifest V3, uzakta barındırılan kodları da engelliyor lakin bu, kâfi değil. Şu anda kullanıcıların ilgili uzantıları Chrome tarayıcılarından kaldırmaları tavsiye ediliyor:
- Netflix Party – 800.000 indirme
- Netflix Party 2 – 300.000 indirme
- Full Page Screenshot Capture – Screenshotting – 200.000 indirme
- FlipShope – Price Tracker Extension – 80.000 indirme
- AutoBuy Flash Sales – 20.000 indirme