Chrome Uzantıları Veri Çalıyor: Güvenilir Uygulamalar Gizli Casus Oldu
Kötü Amaçlı Chrome Uzantıları Hassas Verileri Çalıyor
Google Chrome tarayıcı kullanıcıları için kullanılan uzantılar, görünüşte masum birer araçken, aslında kullanıcıların internet üzerindeki faaliyetlerini gizlice izleyebiliyor. Güvenlik araştırmacıları, uzun süredir kullanıcıların hassas verilerini çalan iki Chrome uzantısını tespit etti. Bu uzantılar, proxy araçları gibi görünerek kullanıcıların güvenini kazanmış ve arkada trafikleri ele geçirerek hassas bilgileri çalmışlardır.
Bu durumun en dikkat çekici yönü, bu uzantıların Google’ın resmi Chrome Web Mağazası’nda listelenmiş olmasıdır.
Kötü Amaçlı Uzantılar Gözden Kaçtı
Socket adlı güvenlik araştırmacıları, aynı isimle (“Phantom Shuttle”) yayınlanan iki Chrome uzantısının, proxy yönlendirme ve ağ hızı testi araçları gibi davranarak kullanıcıları dolandırdığını tespit etti. Araştırmalara göre bu uzantılar en azından 2017’den beri aktif olarak çalışıyor. Her iki uzantı da aynı geliştirici adı altında yayınlanmış ve farklı bölgelerdeki internet bağlantısını test etmesi gereken yabancı ticaret çalışanlarına yönelik olarak pazarlanmıştır. Bu araçlar, yaklaşık 1,40 ila 13,60 dolar arasında değişen abonelik ücretleriyle satılmıştır.
İlk bakışta her şey normal görünüyordu; açıklamalar işlevselliğiyle eşleşiyordu ve fiyatlar makul görünüyordu. Ancak sorun, uzantıların kurulumdan sonra ne yaptığıydı.
Phantom Shuttle Verilerinizi Nasıl Çalıyor?
Socket araştırmacılarına göre Phantom Shuttle, tüm web trafiğini saldırganların kontrolündeki proxy sunucular aracılığıyla yönlendiriyor. Bu proxy’ler, uzantının koduna doğrudan gömülü olan sabit kodlu kimlik bilgilerini kullanıyor. Tespitten kaçınmak için, kötü amaçlı kod görünüşte meşru bir jQuery kütüphanesinin içinde gizleniyor. Saldırganlar, kimlik bilgilerini düz metin olarak bırakmamışlar, bunun yerine özel bir karakter-indeks kodlama şeması kullanarak gizlemişler.
Uzantı etkinleştirildikten sonra, ziyaret ettiğiniz her sitedeki web trafiğini dinliyor ve HTTP kimlik doğrulama zorluklarını yakalıyor. Trafiğin kendi altyapıları aracılığıyla akmasını sağlamak için, uzantı Chrome’un proxy ayarlarını otomatik yapılandırma betiği kullanarak dinamik olarak yeniden yapılandırıyor. Bu, tarayıcınızın istekleri tam olarak saldırganın istediği yere yönlendirmesini sağlıyor.
Uzantının varsayılan “akıllı” modunda, Phantom Shuttle trafiğin 170’den fazla yüksek değerli alan adı üzerinden proxy ağı aracılığıyla yönlendiriliyor. Bu listede geliştirici platformları, bulut hizmeti panoları, sosyal medya siteleri ve yetişkin içerik portalları bulunuyor. Yerel ağlar ve saldırganın kendi komuta ve kontrol alanı, şeyleri bozmaktan veya şüphe uyandırmaktan kaçınmak için muhtemelen hariç tutuluyor.
Bir “ortadaki adam” rolünde hareket ederken, uzantı web formları aracılığıyla gönderdiğiniz her şeyi yakalayabiliyor. Bu, kullanıcı adlarını, şifreleri, kart bilgileri, kişisel bilgiler, HTTP başlıklarından gelen oturum çerezleri ve ağ isteklerinden çekilen API belirteçlerini içeriyor.
CyberGuy, uzantılar hakkında Google ile iletişime geçti ve bir sözcü, her iki uzantının da Chrome Web Mağazası’ndan kaldırıldığını doğruladı.
Tarayıcınızda (Chrome) Yüklenen Uzantıları Nasıl Gözden Geçirirsiniz?
Aşağıdaki adım adım talimatlar, Windows PC’ler, Mac’ler ve Chromebook’lar için geçerlidir. Başka bir deyişle, masaüstü Chrome. Chrome uzantıları mobil uygulamadan tamamen gözden geçirilemez veya kaldırılmaz.
Adım 1: Uzantılarınızı Açın
Bilgisayarınızda Chrome’u açın. Sağ üst köşedeki üç nokta simgesine tıklayın. Ardından Uzantılar’ı seçin ve ardından Uzantıları Yönet’e tıklayın. Alternatif olarak, bunu doğrudan adres çubuğuna yazabilir ve Enter tuşuna basabilirsiniz: chrome://extensions
Adım 2: Tanımadığınız Herhangi Bir Şeyi Arayın
Listelenen her uzantıyı inceleyin ve kendinize şu soruları sorun: Bunu kurduğumu hatırlıyor muyum? Hala bunu kullanıyor muyum? Aslında ne yaptığını biliyor muyum? Bu soruların herhangi birine “hayır” cevabını veriyorsanız, daha yakından inceleyin.
Adım 3: İzinleri ve Erişimi Gözden Geçirin
Hakkında emin olmadığınız herhangi bir uzantının Ayrıntılar’ına tıklayın. Özellikle dikkat etmeniz gerekenler: İzinler, herhangi bir şeye dikkat edin.
Haberin Diğer Kareleri
