McAfee’den güvenlik tehdidi araştırmacıları, kullanıcıların tarama verilerini izleyen beş Google Chrome uzantısı ortaya çıkardı. Söz konusu Chrome eklentileri, şimdiye kadar 1 milyondan fazla kez indirildi.
Google Chrome tarayıcısı için acil bir güncelleme yayınlandı
1 milyondan fazla kez indirildi
McAfee’nin tespit ettiği zararlı Chrome uzantıları arasında; Netflix Party, FlipShope (fiyat takibi), Full Page Screenshot Capture – Screenshotting (tam sayfa ekran görüntüsü alma) ve AutoBuy Flash Sales var. Bu Google Chrome eklentilerinden her biri 20.000’in üzerinde indirmeye, toplamda 1.4 milyon indirmeye sahip.
Zararlı Chrome eklentileri nasıl çalışıyor?
Bu Chrome eklentileri gerçekten dediklerini yapıyor ancak kullanıcının fark edemeyeceği, gizlilik riski oluşturan işlemler gerçekleştiriyor. McAfee tarafından ortaya çıkarılan beş uzantı da benzer bir davranış sergiliyor.
Uzantının sistemde nasıl davranacağını belirleyen web uygulaması bildirimi (“manifest.json” dosyası), tarama verilerini kötü niyetli kişinin kontrolünde olan domaine (“langhort[.]com”) gönderen işlevsel bir script (B0.js) yüklüyor. Kullanıcı, her yeni siteye girişinde POST istekleri aracılığıyla veriler iletiliyor. Dolandırıcıya ulaşan bilgiler, base64 biçimindeki URL, kullanıcı kimliği, cihaz konumu (ülke, şehir, posta kodu) ve şifreli yönlendirme URL’sini içeriyor. Girilen web sitesi, uzantıyı geliştiren kişininin aktif üyeliği olan web sitelerinden herhangi biriyle eşleşirse, sunucu B0.js’ye iki olası işlevden biriyle yanıt veriyor; İlki, “Result[‘c’] – passf_url”, scripte sağlanan URL’yi (referral link) girilen web sitesinde iframe olarak eklemesi komutunu veriyor. İkincisi, “Result[‘e’] setCookie”, B0.js’ye çerezi değiştirmesi veya uzantıya bu eylemi gerçekleştirmek için ilgili izinler verilmişse sağlanan çerezle değiştirmesi komutunu veriyor.
McAfee, URL ve çerez değişikliklerinin gerçek zamanlı olarak nasıl gerçekleştiğini gösteren bir video da yayınladı:
Bu Chrome uzantılarını kaldırın
Google, yeni Manifest V3 standardıyla kötü amaçlı uzantıları ortadan kaldırmak için çalışıyor. Manifest V3, eski Manifest V2 teknolojisiyle karşılaştırıldığında, eklentilerin hangi sayfalara erişebileceği konusunda kullanıcıya daha fazla kontrol veriyor. Manifest V3, uzakta barındırılan kodları da engelliyor ancak bu, yeterli değil. Şu anda kullanıcıların ilgili uzantıları Chrome tarayıcılarından kaldırmaları tavsiye ediliyor:
- Netflix Party – 800.000 indirme
- Netflix Party 2 – 300.000 indirme
- Full Page Screenshot Capture – Screenshotting – 200.000 indirme
- FlipShope – Price Tracker Extension – 80.000 indirme
- AutoBuy Flash Sales – 20.000 indirme