Popüler bir HTTP başlık düzenleme eklentisi olan ModHeader, Google Chrome ve Microsoft Edge'de yaklaşık 1.6 milyon kurulum sayısına ulaşmıştı. Ancak güvenlik araştırmacıları, eklentinin resmi mağaza sürümünde gizli bir tarama geçmişi toplayıcısı keşfedince Google ve Microsoft hızla harekete geçerek eklentiyi mağazalarından kaldırdı. İngiltere merkezli güvenlik firması Stripe OLT tarafından yapılan analiz, toplayıcının şu an için etkin olmadığını ancak potansiyel olarak büyük bir gizlilik riski taşıdığını ortaya koydu.
Stripe OLT, eklentinin kodunu Google Web Store imzasıyla karşılaştırarak toplayıcının sahte değil, gerçek eklenti içinde yer aldığını doğruladı. ModHeader'ın Chrome sürümü yaklaşık 900 bin, Edge sürümü ise 700 bin kullanıcıya sahipti. Microsoft, 3 Temmuz'da Edge sürümünü kaldırırken, Google 10 Temmuz'da Chrome sürümünü mağazadan çekti. Eklentinin 7.0.18 sürümü (ID: idgpnmonknjnojddfkpgkljpfnnfcklj) hala HTTP başlıklarını düzenleme özelliğini sunuyor, ancak aynı kodda ikinci bir sistem daha bulunuyor.
Bu gizli sistem, eklentinin ilk çalıştırılışında bir cihaz parmak izi oluşturuyor ve sabit kodlanmış bir şifreleme anahtarı yüklüyor. Kullanıcı gezindikçe, ziyaret edilen her sayfanın etki alanını (domain) şifreleyerek yerel olarak depoluyor; en fazla 1000 farklı etki alanı. Günde bir kez, bir zamanlayıcı şifrelenmiş listeyi cihaz parmak iziyle birleştirip api.stanfordstudies[.]com adresine gönderiyor ve yerel kopyayı siliyor. Yükleme zamanı her kurulum için farklı ayarlanmış, böylece toplayıcı etkinleştirilseydi tüm tarayıcılar aynı anda sinyal göndermeyecekti.
Detaylar ve Etkileri
Neyse ki toplayıcı, yalnızca tarayıcı bir iç beyaz listeyle eşleşirse çalışacak şekilde tasarlanmış ve bu liste boş olarak geliyor. Kontrol her seferinde başarısız olduğu için toplayıcı hiçbir etki alanı toplamıyor. Ancak bu listenin doldurulması, yeni izin gerektirmeyen ve kullanıcı etkileşimi olmadan gerçekleşebilecek küçük bir güncellemeyle mümkün. Şifreleme anahtarı, hedef URL, zamanlayıcı ve depolama mantığı zaten cihazda mevcut. Ayrıca eklenti, kurulum, güncelleme ve kaldırma sırasında extensions-hub[.]com adresine ürün, sürüm ve tarayıcı bilgisi gönderiyor. Her sayfada çalışan bir betik ise istek meta verilerini düz metin olarak yerel depolamaya kaydediyordu.
Nasıl Önlem Alınmalı?
Otomatik tarama araçları ModHeader'ı düşük riskli olarak değerlendirmiş, hatta bazıları 100 üzerinden 95 puan vermişti. Tasarımın her bir parçası farklı bir denetim türünü yanıltabiliyor: Veriler şifrelendiği için tarayıcılar şifreli metin görüyor; yükleme engellendiği için sanal ortamda hiçbir şey dışarı çıkmıyor. Kötü amaçlı kod, meşru bir kod tabanına sıkıştırılmış durumda. Endpoint'lerin bilinen bir kötü niyetli geçmişi yok ve imzalı, popüler bir eklenti güvenilir olarak algılanıyor. Mağaza imzası, dosyanın nereden geldiğini kanıtlasa da ne yaptığını garanti etmiyor.
Teknik Analiz
Stripe OLT, alan adlarını gerçek ve bakımı yapılan altyapıya bağladı. stanfordstudies[.]com'un Stanford Üniversitesi'yle hiçbir ilişkisi yok; eski bir alan adı OpenSearch arka ucu için yeniden kullanılmış. extensions-hub[.]com ise reklam amaçlı kurulmuş. İki API uç noktası, analiz sırasında aynı Amazon sunucusuna çözümleniyordu. Zayıf sinyaller, operatörün Çince konuşan biri olabileceğini gösteriyor: Basitleştirilmiş Çince yerel ayarı, 'tuz' işaretçisi için 盐 karakteri ve Çin kaynaklı bir posta sağlayıcısı. Araştırmacılar herhangi bir grubu işaret etmiyor.
Uyarı işaretleri daha önce de vardı: ModHeader, 2023'te arama sonuçlarına reklam enjekte ettiği için şikayet almış ve o dönemde reklam destekli hale gelmişti. Eklentinin kim tarafından devralındığı doğrulanmış değil. ModHeader'ın kendi sitesi, kullanıcı verisi toplamadığını iddia eden bir reklam planı yayınlıyor; bu, kapalı bile olsa yerleşik bir tarama geçmişi toplayıcısıyla çelişiyor. Geliştirici, bulgulara henüz kamuoyu önünde yanıt vermedi. The Hacker News, konuyla ilgili yorum için ModHeader ve Stripe OLT'ye ulaştı, yanıt geldikçe haberi güncelleyecek.
Gelecekte Ne Bekleniyor?
Kullanıcıların yapması gerekenler: ModHeader'ı Chrome ve Edge'den kaldırın; tarayıcınız zaten devre dışı bırakmış olabilir. Kaldırma işlemi depolanan verileri temizler, ancak profil senkronizasyonu veya yönetilen eklenti politikalarının eklentiyi geri getirmemesine dikkat edin. Eğer eklentiye API anahtarları, taşıyıcı token'lar veya oturum çerezleri girdiyseniz, bunları değiştirin; araştırmacılar başlık geçmişi özelliğinin tam HTTP başlıklarını diske kaydettiğini buldu. Savunma ekipleri için: DNS ve proxy'de stanfordstudies[.]com ve extensions-hub[.]com'u engelleyin ve günlüklerde eklenti ID'si ile api.stanfordstudies[.]com/app/log adresine yapılan POST isteklerini arayın. Stripe OLT, Defender ve Sentinel için hazır KQL sorguları yayınladı.
Kaynak: thehackernews.com