Google ve Microsoft, popüler HTTP başlık düzenleme eklentisi ModHeader'ı (Chrome ve Edge'de yaklaşık 1.6 milyon yükleme) mağazalardan kaldırdı. Araştırmacılar, eklentinin resmi sürümünde, kullanıcıların tarama geçmişini toplamak üzere tasarlanmış gizli bir kod keşfetti. Neyse ki bu kod şu an için etkin değil; boş bir izin listesi sayesinde çalıştırılamıyor ve henüz herhangi bir veri topladığına dair kanıt bulunmuyor.
Güvenlik firması Stripe OLT tarafından yapılan analiz, gizli kodun eklentinin orijinal Chrome Web Store sürümünde olduğunu doğruladı. Kod, eklentinin normal işlevlerine (HTTP başlıklarını düzenleme) ek olarak çalışıyor. İlk çalıştırmada bir cihaz parmak izi oluşturuyor ve sabit bir şifreleme anahtarı yüklüyor. Kullanıcı her sayfayı ziyaret ettiğinde, o sayfanın alan adını şifreleyerek yerel olarak saklıyor (en fazla 1000 farklı alan adı). Günde bir kez, bu şifrelenmiş liste cihaz parmak iziyle birlikte api.stanfordstudies[.]com adresine gönderiliyor ve yerel kopya siliniyor.
Neyse ki bu veri toplama işlemi yalnızca kullanıcının tarayıcısı eklentinin içindeki bir izin listesiyle eşleşirse çalışıyor ve bu liste şu an boş. Ancak bu listeyi doldurmak için yapılacak küçük bir güncelleme, yeni bir izin gerektirmeden ve kullanıcıya bildirilmeden gerçekleştirilebilir. Yani şifreleme anahtarı, hedef URL, zamanlayıcı ve depolama mantığı zaten cihazda mevcut; sadece izin listesinin doldurulması tetikleyiciyi harekete geçirecek.
Sonuç ve Değerlendirme
Eklentinin bazı parçaları zaten aktifti. Örneğin, yükleme, güncelleme ve kaldırma sırasında extensions-hub[.]com adresine ürün, sürüm ve tarayıcı bilgisi gönderiyordu. Ayrıca her sayfada çalışan bir komut dosyası, istek meta verilerini düz metin olarak yerel depolamaya kaydediyordu. Otomatik tarama araçları ModHeader'ı düşük riskli olarak değerlendirmişti (bazıları 100 üzerinden 95 puan vermişti). Çünkü veriler şifrelenmişti, yükleme işlemi bir kapıyla korunuyordu, kötü amaçlı kod meşru kod içine sıkıştırılmıştı ve imzalı, popüler bir eklenti güvenilir kabul ediliyordu.
Uzmanların Görüşleri
Araştırmacılar, alan adlarının gerçek ve aktif altyapıya sahip olduğunu tespit etti. stanfordstudies[.]com'un Stanford Üniversitesi'yle bir ilgisi yok; eski bir alan adı, OpenSearch arka ucu kullanılıyor. extensions-hub[.]com ise reklam için kurulmuş. İki API uç noktası aynı Amazon sunucusuna yönlendirildiğinden, tek bir operatör tarafından yönetildikleri düşünülüyor. Zayıf sinyaller, Çin'de konuşulan bir operatörü işaret ediyor: Basitleştirilmiş Çince yerel ayarı, "tuz" işareti olarak 盐 karakteri ve Çin merkezli bir e-posta sağlayıcısı.
Detaylar ve Etkileri
Bu olay, 2021'de Brian Krebs'in popüler eklentilerin sessizce satın alınıp veri boru hatlarına dönüştürüldüğünü anlattığı yazısını hatırlatıyor. Bu yıl başka Chrome eklentileri de 'anonim analitik' etiketi altında veri toplarken yakalandı. ModHeader'ın geliştiricisi henüz konuyla ilgili bir açıklama yapmadı. Kullanıcıların eklentiyi Chrome ve Edge'den kaldırmaları, eğer eklentiye API anahtarları, taşıyıcı token'lar veya oturum çerezleri girmişlerse bunları yenilemeleri öneriliyor. Savunma ekipleri için ise belirtilen alan adlarının DNS ve proxy seviyesinde engellenmesi ve günlüklerin taranması tavsiye ediliyor.
Kaynak: thehackernews.com