Google'ın Chrome Web Mağazası'nda 1,7 milyon indirme sayısına ulaşan yaklaşık bir düzine kötü amaçlı eklenti, kullanıcıları izleyebilir, tarayıcı etkinliğini çalabilir ve potansiyel olarak güvenli olmayan web adreslerine yönlendirebilir.
Eklentilerin çoğu, reklamı yapılan işlevselliği sağlıyor ve renk seçiciler, VPN'ler, ses yükselticiler ve emoji klavyeleri gibi meşru araçlar gibi görünüyor. Güvenlik amaçlı kendi kendini sağlayan yazılımlar için bir platform sağlayan bir şirket olan Koi Security'deki araştırmacılar , Chrome Web Mağazası'nda kötü amaçlı uzantılar keşfetti ve bunları Google'a bildirdi.
Bazı uzantılar artık mevcut değil ancak birçoğu hala kullanılabilir durumda.
Bu uzantıların birçoğu doğrulanmış, yüzlerce olumlu yorum almış ve Chrome Web Mağazası'nda öne çıkarılmış olup, kullanıcıları güvenlikleri konusunda yanıltmaktadır.
Kullanıcılar Chrome tarayıcısında aşağıdaki eklentileri kontrol etmeli ve mümkün olan en kısa sürede kaldırmalıdır:
- Color Picker, Eyedropper — Geco colorpick
- Emoji keyboard online — copy&paste your emoji
- Free Weather Forecast
- Video Speed Controller — Video manager
- Unlock Discord — VPN Proxy to Unblock Discord Anywhere
- Dark Theme — Dark Reader for Chrome
- Volume Max — Ultimate Sound Booster
- Unblock TikTok — Seamless Access with One-Click Proxy
- Unlock YouTube VPN
- Unlock TikTok
- Weather
Bunlardan biri olan 'Volume Max — Ultimate Sound Booster' da geçen ay LayerX araştırmacıları tarafından işaretlenmişti ve araştırmacılar, bu uygulamanın kullanıcıları gözetleme potansiyeli konusunda uyarıda bulunmuştu; ancak o dönemde herhangi bir kötü niyetli faaliyet doğrulanamamıştı.
Araştırmacılara göre, kötü amaçlı işlevsellik, her uzantının arka plan hizmet çalışanında, Chrome Uzantıları API'sini kullanarak uygulanıyor ve bir kullanıcı her yeni web sayfasına gittiğinde tetiklenen bir dinleyici kaydediliyor. Dinleyici, ziyaret edilen sayfanın URL'sini yakalar ve her kullanıcı için benzersiz bir izleme kimliğiyle birlikte bu bilgileri uzak bir sunucuya sızdırır. Sunucu, yönlendirme URL'leriyle yanıt verebilir, kullanıcının tarama etkinliğini ele geçirebilir ve potansiyel olarak onları siber saldırılara olanak sağlayabilecek güvenli olmayan hedeflere götürebilir. Her ne kadar böyle bir olasılık olsa da, Koi Security'nin testlerinde kötü amaçlı yönlendirmelere rastlanmadığını belirtmek gerekir. Ayrıca, zararlı kodlar eklentilerin ilk sürümlerinde bulunmuyordu, ancak daha sonra güncellemeler aracılığıyla sisteme dahil edildi. Google'ın otomatik güncelleme sistemi, herhangi bir kullanıcı onayı veya etkileşimi gerektirmeden en yeni sürümleri sessizce kullanıcılara dağıtır.
Bu uzantılardan bazılarının yıllardır güvenli olduğu göz önüne alındığında, bunların kötü amaçlı kodu tanıtan dış aktörler tarafından ele geçirilmiş/tehlikeye atılmış olması mümkündür. BleepingComputer bu olasılığı araştırmak için birkaç yayıncıyla temasa geçti ancak henüz hiçbirinden geri dönüş alamadık. Bu makaleyi yayınlamadan önce Koi Security araştırmacıları, siber suçluların Microsoft Edge'in resmi mağazasına kötü amaçlı uzantılar yerleştirdiğini ve toplam indirme sayısının 600.000'i bulduğunu keşfetmişti. Araştırmacılar, "Bu on sekiz uzantının bir araya gelmesiyle her iki tarayıcıda da 2,3 milyondan fazla kullanıcı enfekte oldu ve belgelediğimiz en büyük tarayıcı ele geçirme operasyonlarından birini oluşturdu" diyor. Kullanıcıların listelenen tüm uzantıları derhal kaldırmalarını, izleme tanımlayıcılarını temizlemek için tarama verilerini temizlemelerini, sistemi kötü amaçlı yazılımlara karşı kontrol etmelerini ve hesapları şüpheli etkinliklere karşı izlemelerini öneriyorlar.Güncelleme 7/10 - Google, Koi Security'nin keşfettiği tüm eklentilerin Chrome Web Mağazası'ndan kaldırıldığını doğruladı.
Kaynak :
https://www.bleepingcomputer.com/news/s ... web-store/
