Google, arama sonuçlarını değiştirebilecek ve spam veya istenmeyen reklamları bastırabilecek Chrome Web Store 32 kötü niyetli uzantılardan kaldırıldı. Toplu olarak, 75 milyon indirme sayısı ile geliyorlar.
Uzantılar, kullanıcıları yükleri sunmak için gizlenmiş kodda gelen kötü niyetli davranışlardan habersiz tutmak için meşru işlevsellik içeriyordu.
Siber güvenlik araştırmacısı Wladimir Palant, Chrome Web Store'dan temin edilebilen PDF araç kutusu uzantısını (2 milyon indirme) analiz etti ve meşru bir uzantı API sargısı olarak gizlenmiş kodu içerdiğini buldu.
Mayıs ortasında bir yazımda, araştırmacı, kodun “Serasearchtop [.] Com” alanının kullanıcının ziyaret ettiği herhangi bir web sitesine keyfi JavaScript kodu enjekte etmesine izin verdiğini açıklar.
Kötüye kullanım potansiyeli, reklam eklemekten web sayfalarına hassas bilgileri çalmaya kadar uzanmaktadır. Ancak Palant, kötü niyetli bir etkinlik gözlemlemedi, bu nedenle kodun amacı belirsiz kaldı.
Araştırmacı ayrıca, kodun, tipik olarak kötü niyetli niyetlerle ilişkili bir davranış olan uzantıyı kurduktan 24 saat sonra etkinleştirilecek şekilde ayarlandığını fark etti.
Birkaç gün önce Palant, aynı şüpheli kodu başka bir 18 Chrome uzantısında toplam 55 milyon indirme sayısıyla keşfettiğine dair bir takip yazısı yayınladı. Bazı örnekler şunları içerir:
Palant'ın ikinci yazıyı yayınladığı sırada, tüm uzantılar hala Chrome web mağazasında mevcuttu.
Soruşturmasına devam eden Palant, kodun iki varyantını buldu: biri Mozilla’nın Webextension tarayıcı API Polyfill ve diğeri Day.js kütüphanesi olarak poz veriyor.
Bununla birlikte, her iki sürüm de SerasearchTop [.] Com.
Araştırmacı herhangi bir net kötü amaçlı etkinlik gözlemlememesine rağmen, web mağazasında uzantıların yeniden yönlendirme ve arama sonucu kaçırma gerçekleştirdiğini gösteren çok sayıda kullanıcı raporu ve inceleme olduğunu belirtti.
Şüpheli uzantıları Google'a bildirme girişimlerine rağmen, Chrom Web Store'dan kullanıcılara sunulmaya devam ettiler.
Ancak bugün daha önce, siber güvenlik şirketi Avast, kötü niyetli niteliklerini doğruladıktan sonra Google'a uzantıları bildirdiğini ve listeyi 32 girişe genişlettiğini söyledi. Toplu olarak, bunlar 75 milyon kurulumla övündü.
Avast, uzantılar şüphesiz kullanıcılar için zararsız görünse de, sponsorlu bağlantıları ve ücretli sonuçları görüntülemek için arama sonuçlarını ele geçiren, hatta bazen kötü amaçlı bağlantılar sunan adware olduğunu söylüyor.
Avast bulgularını yayınlamadan önce BleepingComputer'ın yorum talebine yanıt veren bir Google sözcüsü, "bildirilen uzantıların Chrome Web mağazasından kaldırıldığını" söyledi.
“Uzantılara karşı güvenlik ve gizlilik iddialarını ciddiye alıyoruz ve politikalarımızı ihlal eden uzantılar bulduğumuzda uygun önlemleri alıyoruz.”
Google temsilcisi BleepingComputer'a verdiği demeçte, "Chrome Web Store'un kullanıcıları tüm geliştiricilerin uyması gereken güvende tutmak için politikaları var."
Avast, on binlerce müşterisini ve potansiyel olarak dünya çapında milyonlarca kişiyi hedefleyen uzantıların önemli etkisini vurgulamaktadır.
Müşterileri için Avast, yalnızca uzantılar içindeki kötü amaçlı unsurları seçici hale getirdi ve meşru özelliklerin bozulmadan çalışmaya devam etmesine izin verdi.
75 milyon indirme endişe verici görünse de, şirket sayının "yapay olarak şişirilmiş" olduğundan şüpheleniyor. Avast’ın raporunda kötü niyetli uzantıların (ID'ler) tam bir listesi bulunabilir.
Kullanıcılar, uzantıların Chrome Web Store'dan kaldırılmasının, tarayıcılarından otomatik olarak devre dışı bırakmadığını veya kaldırmadığını, bu nedenle riski ortadan kaldırmak için manuel eylem gerekli olduğunu belirtmelidir.
VIPERSOFTX Info-Dayanan Kötü Yazılım Artık Şifre Yöneticilerini Hedefliyor
Bilgisayar korsanları, 2FA'yı atlamak için Rilide tarayıcı uzantısını kullanır, kripto çal
Google Triples Chrome Sandbox Escape Zinciri İstismarları için Ödüller
Kimlik avı, kötü amaçlı yazılım ve fidye yazılımlarına karşı AI tabanlı bir krom uzantısı
Google, Chrome 117'de güvenli web sitesi göstergelerini kaldıracak
Kaynak: Bleeping Computer