McAfee’den güvenlik tehdidi araştırmacıları, kullanıcıların tarama bilgilerini izleyen beş Google Chrome uzantısı ortaya çıkardı. Kelam konusu Chrome eklentileri, şimdiye kadar 1 milyondan fazla defa indirildi.
Google Chrome tarayıcısı için acil bir güncelleme yayınlandı
1 milyondan fazla kere indirildi
McAfee’nin tespit ettiği ziyanlı Chrome uzantıları ortasında; Netflix Party, FlipShope (fiyat takibi), Full Page Screenshot Capture – Screenshotting (tam sayfa ekran imgesi alma) ve AutoBuy Flash Sales var. Bu Google Chrome eklentilerinden her biri 20.000’in üzerinde indirmeye, toplamda 1.4 milyon indirmeye sahip.
Zararlı Chrome eklentileri nasıl çalışıyor?
Bu Chrome eklentileri sahiden dediklerini yapıyor fakat kullanıcının fark edemeyeceği, kapalılık riski oluşturan süreçler gerçekleştiriyor. McAfee tarafından ortaya çıkarılan beş uzantı da emsal bir davranış sergiliyor.
Uzantının sistemde nasıl davranacağını belirleyen web uygulaması bildirimi (“manifest.json” dosyası), tarama bilgilerini makus niyetli kişinin denetiminde olan domaine (“langhort[.]com”) gönderen fonksiyonel bir script (B0.js) yüklüyor. Kullanıcı, her yeni siteye girişinde POST istekleri aracılığıyla veriler iletiliyor. Dolandırıcıya ulaşan bilgiler, base64 biçimindeki URL, kullanıcı kimliği, aygıt konumu (ülke, kent, posta kodu) ve şifreli yönlendirme URL’sini içeriyor. Girilen web sitesi, uzantıyı geliştiren kişininin faal üyeliği olan web sitelerinden rastgele biriyle eşleşirse, sunucu B0.js’ye iki mümkün fonksiyondan biriyle cevap veriyor; İlki, “Result[‘c’] – passf_url”, scripte sağlanan URL’yi (referral link) girilen web sitesinde iframe olarak eklemesi komutunu veriyor. İkincisi, “Result[‘e’] setCookie”, B0.js’ye çerezi değiştirmesi yahut uzantıya bu hareketi gerçekleştirmek için ilgili müsaadeler verilmişse sağlanan çerezle değiştirmesi komutunu veriyor.
McAfee, URL ve çerez değişikliklerinin gerçek vakitli olarak nasıl gerçekleştiğini gösteren bir görüntü da yayınladı:
Bu Chrome uzantılarını kaldırın
Google, yeni Manifest V3 standardıyla makûs maksatlı uzantıları ortadan kaldırmak için çalışıyor. Manifest V3, eski Manifest V2 teknolojisiyle karşılaştırıldığında, eklentilerin hangi sayfalara erişebileceği konusunda kullanıcıya daha fazla denetim veriyor. Manifest V3, uzakta barındırılan kodları da engelliyor lakin bu, kâfi değil. Şu anda kullanıcıların ilgili uzantıları Chrome tarayıcılarından kaldırmaları tavsiye ediliyor:
- Netflix Party – 800.000 indirme
- Netflix Party 2 – 300.000 indirme
- Full Page Screenshot Capture – Screenshotting – 200.000 indirme
- FlipShope – Price Tracker Extension – 80.000 indirme
- AutoBuy Flash Sales – 20.000 indirme