۵۰۰ افزونه‌ی کروم به‌دلیل سرقت اطلاعات خصوصی ۱٫۷ میلیون کاربر حذف شدند

شرکت گوگل پس از این‌که متوجه شد برخی از افزونه‌ها به تزریق تبلیغات مخرب پرداخته و داده‌های مرورگر کاربران را به سرورهای تحت کنترل مهاجمان انتقال می‌دهند، ۵۰۰ افزونه‌ی مخرب را از فروشگاه وب خود حذف کرد.

این افزونه‌ها بخشی از یک کمپین تبلیغاتی مخرب و کلاهبردارانه هستند که حداقل از ژانویه‌ی سال ۲۰۱۹ شروع به کار کرده است، هرچند برخی از شواهد حاکی از احتمال آغاز فعالیت بازیگر پشت پرده‌ی این طرح از سال ۲۰۱۷ می‌باشد. این یافته‌ها بخشی از تحقیقات مشترک انجام‌شده توسط محقق امنیتی جمیلا کایا (Jamila Kaya) و تیم امنیتیDuo  متعلق به سیسکو هستند که ۷۰ افزونه‌ی کروم را با بیش از ۱٫۷ میلیون نصب کشف کرده‌اند. پس از به اشتراک‌گذاشتن این یافته‌ها با گوگل، این شرکت ۴۳۰ افزونه‌ی مرورگر مشکل‌ساز دیگر را نیز شناسایی کرد. تمامی این افزونه‌ها درحال‌حاضر غیرفعال شده‌اند.

با استفاده از ابزار ارزیابی امنیت افزونه‌های کروم تیم Duo که CRXcavator نام دارد، محققان متوجه شدند که این افزونه‌های مرورگر با اتصال پنهانی کلاینت‌های مرورگر به یک سرور دستور و کنترل (C2) کنترل‌شده توسط مهاجم کار می‌کنند که این موضوع، امکان دسترسی به داده‌های خصوصی مرور را بدون آگاهی کاربران فراهم می‌کند. این افزونه‌ها که در پوشش خدمات تبلیغاتی عمل می‌کنند، دارای کد منبع تقریباً یکسان، اما با نام توابع متفاوت بوده و از این طریق، از سازوکارهای شناسایی فروشگاه وب کروم جلوگیری می‌کنند.

این افزونه‌ها علاوه‌بر درخواست مجوزهایی که امکان دسترسی به کلیپ‌بورد و تمامی کوکی‌های ذخیره‌شده در مرورگر را فراهم می‌کند، به‌منظور بررسی دستورالعمل‌های حذف خود از مرورگر، به‌صورت دوره‌ای به یک دامنه که هم نام خود افزونه است متصل می‌شوند. به‌محض برقراری ارتباط اولیه با سایت، افزونه‌ها متعاقباً با یک دامنه‌ی دستور و کنترل هاردکدشده، ارتباط برقرار کرده و در انتظار دستورات بعدی، یعنی مکان‌هایی برای بارگذاری داده‌های کاربر و دریافت لیست‌های به‌روزشده از تبلیغات مخرب و دامنه‌های هدایت‌شده می‌مانند. این دامنه‌ها متعاقباً جلسات مرور کاربران را به ترکیبی از وب‌سایت‌های قانونی و فیشینگ هدایت می‌کنند.

طبق گزارش‌ها، بخش عظیمی از این‌ها جریان‌های تبلیغاتی خوش‌خیم بوده و مربوط به تبلیغات شرکت‌هایی همچون Macy’s، Dell یا Best Buy هستند. برخی از این تبلیغات نیز می‌توانند قانونی تلقی شوند؛ اما ۶۰ تا ۷۰ درصد از مواردی که در آن‌ها تغییر مسیر رخ داده‌ است، مربوط به جریان‌های تبلیغاتی به یک وب‌سایت مخرب هستند.

این اولین باری نیست که افزونه‌های سرقت داده در مرورگر کروم کشف شده است. در ژوئیه‌ی سال گذشته، محقق امنیتی سام جادالی (Sam Jadali) و واشنگتن پست، پرده از افشای داده‌ی بزرگی به نام DataSpii برداشتند که با استفاده از افزونه‌های مرورگرهای کروم و فایرفاکس، نصب‌شده بر روی مرورگرهای ۴میلیون کاربر، صورت گرفته بود. این افزونه‌ها فعالیت مرورگر، از جمله اطلاعات قابل‌شناسایی شخصی را جمع‌آوری کرده و آن‌ها را با یک کارگزار داده‌ی شخص ثالث نامعلوم به اشتراک می‌گذاشتند. این کارگزار، پس از آن داده‌ها را به یک شرکت تحلیلی به نام Nacho Analytics (اکنون تعطیل شده است) منتقل می‌کرد و این شرکت نیز، داده‌های جمع‌آوری‌شده را به‌صورت آنی به اعضای اشتراکی خود می‌فروخت.

در پاسخ به این موضوع، گوگل از ۱۵ اکتبر سال ۲۰۱۹ افزونه‌ها را به درخواست دسترسی به «حداقل داده» ملزم، و هرگونه افزونه‌ای را که سیاست حفظ حریم خصوصی نداشته و داده‌های مربوط به عادات مرور کاربران را جمع‌آوری می‌کرد، ممنوع اعلام کرد. به کاربران توصیه می‌شود مجوزهای افزونه‌های خود را مرور کنند، افزونه‌هایی را که به‌ندرت از آن‌ها استفاده می‌کنند، حذف کرده یا از سایر گزینه‌های نرم‌افزاری که نیازی به دسترسی تجاوزآمیز به فعالیت مرورگر ندارند، استفاده کنند.

منبع

پست‌های مشابه

Leave a Comment