افشای عملیات جاسوسی هفت‌ساله در افزونه‌های کروم و اج

یک عملیات جاسوسی هفت‌ساله در کروم و اج افشا شد که طی آن افزونه‌های به ظاهر بی‌ضرر این مرورگرها به ابزارهای جاسوسی تبدیل شدند.

به گزارش سرویس فناوری تک‌ناک، گسترده‌ترین سوءاستفاده‌ امنیتی سال‌های اخیر توسط تحقیقات جدید شرکت امنیتی Koi Security کشف شد.

این گزارش نشان می‌دهد افزونه‌هایی که در ابتدا به‌ عنوان ابزارهای افزایش بهره‌وری منتشر شده بودند، پس از جلب اعتماد کاربران با میلیون‌ها نصب فعال، تحت به‌روزرسانی‌های مخرب قرار گرفتند و به‌طور گسترده داده‌های خصوصی کاربران را جمع‌آوری کردند.

بر اساس گزارش منتشرشده توسط TheRegister، فردی با نام کاربری ShadyPanda از سال ۲۰۱۸ شروع به بارگذاری افزونه‌های ساده و کاملاً بی‌خطر کرد. این افزونه‌ها در نسخه‌های اولیه هیچ‌گونه رفتار مشکوکی نداشتند و عملکردی مشابه ابزارهای مرسوم مرورگر ارائه می‌دادند. همین روند باعث شد که طی چند سال تعداد زیادی کاربر بدون هیچ نگرانی این ابزارها را نصب کنند. اما با افزایش قابل‌ توجه تعداد نصب‌ها، به‌روزرسانی‌هایی منتشر شد که در آن کدهای جاسوسی فعال شده بودند و رفتار افزونه‌ها را به‌طور کامل تغییر دادند.

طبق یافته‌های Koi Security، افزونه‌ها پس از این تغییرات مخرب قادر بودند مجموعه گسترده‌ای از اطلاعات مرور کاربران را جمع‌آوری کنند. این داده‌ها شامل تمامی آدرس‌های اینترنتی بازدیدشده، تاریخچه کامل مرورگر، جست‌وجوهای انجام‌شده، کلیک‌های ماوس، اثرانگشت دقیق مرورگر و حتی مسیر حرکت کاربر بین وب‌سایت‌ها از طریق اطلاعات ارجاعی HTTP بود. همچنین افزونه‌ها از طریق chrome.storage.sync، شناسه‌های UUID پایدار ذخیره می‌کردند، که امکان دنبال‌ کردن کاربران را حتی پس از نصب مجدد مرورگر یا تغییر دستگاه فراهم می‌کرد.

در این عملیات جاسوسی، دو گروه از افزونه‌های کروم و اج بیش از همه مورد توجه قرار گرفتند. افزونه Clean Master با بیش از ۲۰۰ هزار نصب و مجموعه افزونه‌های منتشرشده تحت نام WeTab که در مجموع بیش از سه میلیون نصب در کروم و اج داشتند، از جمله مواردی بودند که در سطح گسترده مورد سوءاستفاده قرار گرفتند. در مجموع، بیش از ۴.۳ میلیون کاربر در دو مرورگر تحت تأثیر این بدافزار قرار گرفتند. برخی از این افزونه‌ها حتی نشان «ویژه» یا «تأییدشده» را در فروشگاه‌های رسمی دریافت کرده بودند، که به افزایش اعتماد کاربران کمک کرده بود.

گوگل و مایکروسافت هر دو اعلام کردند که افزونه‌های مخرب از فروشگاه رسمی Chrome Web Store و Edge Add-ons حذف شده‌اند. با وجود این، کارشناسان هشدار می‌دهند که حذف از فروشگاه به معنای حذف از مرورگر کاربران نیست و افراد باید به‌ صورت دستی فهرست افزونه‌های نصب‌شده خود را بررسی کنند. هر افزونه ناشناس، بلااستفاده یا مرتبط با Starlab Technology و WeTab باید به سرعت حذف شود.

همچنین کارشناسان توصیه می‌کنند که کاربران پس از پاک‌ کردن افزونه‌های مخرب، مرورگر خود را به آخرین نسخه موجود به‌روزرسانی کنند تا سازوکارهای امنیتی جدید فعال شود و امکان اجرای هرگونه نسخه کش‌شده یا غیرفعال‌شده از بین برود. علاوه‌ بر این، پاک‌سازی داده‌های sync در حساب کاربری کروم یا اج برای حذف کامل شناسه‌های ذخیره‌شده ضروری است.

افشای این عملیات نشان می‌دهد که تهدیدهای امنیتی تنها به بدافزارهای مستقل محدود نیست و افزونه‌های به‌ظاهر معتبر نیز می‌توانند در صورت نبود نظارت کافی به ابزارهای جاسوسی گسترده تبدیل شوند.