شناسایی ۵۷ افزونه خطرناک مرورگر کروم با ۶ میلیون نصب

پژوهشی جدید نشان می‌دهد که ۵۷ افزونه مرورگر کروم با مجموع ۶ میلیون نصب، دارای کدهایی برای ردیابی پنهان کاربران، دسترسی به کوکی‌ها و حتی اجرای اسکریپت‌های راه‌دور هستند.

به گزارش تک‌ناک، این افزونه‌ها که توسط محقق امنیتی «جان تاکنر» از شرکت Secure Annex شناسایی شده‌اند، به‌ صورت «پنهان» منتشر شده‌اند؛ به این معنا که در جست‌وجوهای فروشگاه Chrome Web Store یا موتورهای جست‌وجو نمایش داده نمی‌شوند و تنها از طریق لینک مستقیم قابل نصب هستند. مسئله‌ای که می‌تواند حریم خصوصی کاربران را به‌ شدت تهدید کند.

در حالت عادی، چنین افزونه‌هایی ممکن است برای استفاده داخلی سازمان‌ها یا مراحل توسعه استفاده شوند، اما طبق یافته‌ها، برخی مهاجمان سایبری از این روش برای انتشار مخفیانه افزونه‌ها از طریق تبلیغات یا سایت‌های مخرب بهره می‌برند.

نخستین افزونه مشکوک مرورگر کروم با نام Fire Shield Extension Protection مورد بررسی قرار گرفت و مشخص شد که کدهای آن به‌ شدت مبهم‌سازی شده‌اند و از طریق APIهایی، داده‌های جمع‌آوری‌شده از مرورگر را ارسال می‌کنند. تاکنر با ردیابی دامنه‌ای به نام unknow.com، موفق شد افزونه‌های بیشتری را با همین کد مخرب پیدا کند، که با عناوینی نظیر مسدودکننده تبلیغات یا ابزار حفظ حریم خصوصی عرضه شده‌اند.

این افزونه‌ها دارای مجوزهای بسیار گسترده‌ای هستند، که به آنها اجازه می‌دهد:

• به کوکی‌های سایت‌ها، از جمله اطلاعات حساس مانند هدرهای «Authorization»، دسترسی داشته باشند.
• رفتار کاربر را در مرورگر ردیابی کنند .
• ارائه‌دهنده جست‌وجو و نتایج آن را تغییر دهند. 
• اسکریپت‌های راه‌دور را از طریق iframeها روی صفحات اجرا کنند .
• ردیابی پیشرفته را به‌ صورت راه‌دور فعال کنند. 

اگرچه تاکنر هیچ مدرکی مبنی بر سرقت رمز عبور یا کوکی‌ها نیافته، اما قابلیت‌های بسیار خطرناک این افزونه‌ها و کدهای پنهان‌شده آنها، او را بر آن داشته است تا این مجموعه را به‌ عنوان ابزار بالقوه جاسوسی معرفی کند.

او همچنین اعلام کرد: «در برخی از این افزونه‌ها سیگنال‌هایی از قابلیت کنترل از راه دور دیده می‌شود، که از جمله آنها می‌توان به فهرست‌ کردن سایت‌های پر بازدید، باز و بسته کردن تب‌ها و اجرای دستورات به‌ صورت فوری اشاره کرد؛ همه این‌ موارد در حالی است که افزونه‌ها خود را به‌ عنوان ابزار محافظ در برابر تهدیدات معرفی کرده‌اند.»

تاکنر امروز اعلام کرد که فهرست افزونه‌های مشکوک به ۵۷ عدد رسیده است و برخی از آنها همچنان به‌ صورت عمومی در فروشگاه کروم موجود هستند. تعدادی از این افزونه‌ها عبارت‌انداز:

• Cuponomia – Coupon and Cashback (عمومی، ۷۰۰٬۰۰۰ کاربر) 
• Fire Shield Extension Protection (فهرست‌نشده، ۳۰۰٬۰۰۰ کاربر) 
• Total Safety for Chrome™ (فهرست‌نشده، ۳۰۰٬۰۰۰ کاربر) 
• Browser WatchDog for Chrome (عمومی، ۲۰۰٬۰۰۰ کاربر) 
• Securify for Chrome™ (فهرست‌نشده، ۲۰۰٬۰۰۰ کاربر) 

شرکت گوگل در واکنش به این گزارش اعلام کرده که از موضوع مطلع است و تحقیقات درباره افزونه‌ها آغاز شده است. با وجود این، برخی از این افزونه‌ها همچنان در دسترس کاربران قرار دارند.

به کاربران توصیه می‌شود که در صورت نصب هر یک از افزونه‌های نام‌برده، آنها را بلافاصله حذف کنند و به‌ دلایل امنیتی، رمز عبور حساب‌های آنلاین خود را تغییر دهند.