شرکت گوگل پس از اینکه متوجه شد برخی از افزونهها به تزریق تبلیغات مخرب پرداخته و دادههای مرورگر کاربران را به سرورهای تحت کنترل مهاجمان انتقال میدهند، ۵۰۰ افزونهی مخرب را از فروشگاه وب خود حذف کرد.
این افزونهها بخشی از یک کمپین تبلیغاتی مخرب و کلاهبردارانه هستند که حداقل از ژانویهی سال ۲۰۱۹ شروع به کار کرده است، هرچند برخی از شواهد حاکی از احتمال آغاز فعالیت بازیگر پشت پردهی این طرح از سال ۲۰۱۷ میباشد. این یافتهها بخشی از تحقیقات مشترک انجامشده توسط محقق امنیتی جمیلا کایا (Jamila Kaya) و تیم امنیتیDuo متعلق به سیسکو هستند که ۷۰ افزونهی کروم را با بیش از ۱٫۷ میلیون نصب کشف کردهاند. پس از به اشتراکگذاشتن این یافتهها با گوگل، این شرکت ۴۳۰ افزونهی مرورگر مشکلساز دیگر را نیز شناسایی کرد. تمامی این افزونهها درحالحاضر غیرفعال شدهاند.
با استفاده از ابزار ارزیابی امنیت افزونههای کروم تیم Duo که CRXcavator نام دارد، محققان متوجه شدند که این افزونههای مرورگر با اتصال پنهانی کلاینتهای مرورگر به یک سرور دستور و کنترل (C2) کنترلشده توسط مهاجم کار میکنند که این موضوع، امکان دسترسی به دادههای خصوصی مرور را بدون آگاهی کاربران فراهم میکند. این افزونهها که در پوشش خدمات تبلیغاتی عمل میکنند، دارای کد منبع تقریباً یکسان، اما با نام توابع متفاوت بوده و از این طریق، از سازوکارهای شناسایی فروشگاه وب کروم جلوگیری میکنند.
این افزونهها علاوهبر درخواست مجوزهایی که امکان دسترسی به کلیپبورد و تمامی کوکیهای ذخیرهشده در مرورگر را فراهم میکند، بهمنظور بررسی دستورالعملهای حذف خود از مرورگر، بهصورت دورهای به یک دامنه که هم نام خود افزونه است متصل میشوند. بهمحض برقراری ارتباط اولیه با سایت، افزونهها متعاقباً با یک دامنهی دستور و کنترل هاردکدشده، ارتباط برقرار کرده و در انتظار دستورات بعدی، یعنی مکانهایی برای بارگذاری دادههای کاربر و دریافت لیستهای بهروزشده از تبلیغات مخرب و دامنههای هدایتشده میمانند. این دامنهها متعاقباً جلسات مرور کاربران را به ترکیبی از وبسایتهای قانونی و فیشینگ هدایت میکنند.
طبق گزارشها، بخش عظیمی از اینها جریانهای تبلیغاتی خوشخیم بوده و مربوط به تبلیغات شرکتهایی همچون Macy’s، Dell یا Best Buy هستند. برخی از این تبلیغات نیز میتوانند قانونی تلقی شوند؛ اما ۶۰ تا ۷۰ درصد از مواردی که در آنها تغییر مسیر رخ داده است، مربوط به جریانهای تبلیغاتی به یک وبسایت مخرب هستند.
این اولین باری نیست که افزونههای سرقت داده در مرورگر کروم کشف شده است. در ژوئیهی سال گذشته، محقق امنیتی سام جادالی (Sam Jadali) و واشنگتن پست، پرده از افشای دادهی بزرگی به نام DataSpii برداشتند که با استفاده از افزونههای مرورگرهای کروم و فایرفاکس، نصبشده بر روی مرورگرهای ۴میلیون کاربر، صورت گرفته بود. این افزونهها فعالیت مرورگر، از جمله اطلاعات قابلشناسایی شخصی را جمعآوری کرده و آنها را با یک کارگزار دادهی شخص ثالث نامعلوم به اشتراک میگذاشتند. این کارگزار، پس از آن دادهها را به یک شرکت تحلیلی به نام Nacho Analytics (اکنون تعطیل شده است) منتقل میکرد و این شرکت نیز، دادههای جمعآوریشده را بهصورت آنی به اعضای اشتراکی خود میفروخت.
در پاسخ به این موضوع، گوگل از ۱۵ اکتبر سال ۲۰۱۹ افزونهها را به درخواست دسترسی به «حداقل داده» ملزم، و هرگونه افزونهای را که سیاست حفظ حریم خصوصی نداشته و دادههای مربوط به عادات مرور کاربران را جمعآوری میکرد، ممنوع اعلام کرد. به کاربران توصیه میشود مجوزهای افزونههای خود را مرور کنند، افزونههایی را که بهندرت از آنها استفاده میکنند، حذف کرده یا از سایر گزینههای نرمافزاری که نیازی به دسترسی تجاوزآمیز به فعالیت مرورگر ندارند، استفاده کنند.