Google ve Microsoft, Chrome ve Edge tarayıcıları için popüler bir HTTP başlık düzenleme eklentisi olan ModHeader'ı mağazalarından kaldırdı. İngiltere merkezli siber güvenlik firması Stripe OLT'nin yaptığı analiz, eklentinin resmi sürümüne gizlice eklenmiş bir tarama geçmişi toplayıcısı olduğunu ortaya çıkardı. Yaklaşık 1.6 milyon kullanıcıya sahip olan eklenti, Chrome'da 900 bin, Edge'de ise 700 bin civarında indirilmişti. Microsoft 3 Temmuz'da, Google ise 10 Temmuz'da eklentiyi mağazalarından kaldırdı. Şu an için eklenti her iki mağazada da bulunmuyor.
Stripe OLT'nin incelemesine göre, ModHeader'ın 7.0.18 sürümü (ID: idgpnmonknjnojddfkpgkljpfnnfcklj) normal başlık düzenleme işlevini yerine getirirken, arka planda çalışan küçültülmüş kodda ikinci bir sistem barındırıyordu. Bu sistem, ilk çalıştırmada bir cihaz parmak izi oluşturuyor ve sabit bir şifreleme anahtarı yüklüyordu. Kullanıcı gezindikçe, her sayfanın alan adını alıp şifreleyerek yerel olarak en fazla 1000 farklı alan adını depoluyordu. Günde bir kez, bir zamanlayıcı şifrelenmiş listeyi cihaz parmak iziyle birlikte api.stanfordstudies[.]com adresine gönderiyor ve yerel kopyayı siliyordu. Yükleme zamanı her kurulumda farklıydı, böylece toplayıcı etkin olsaydı tüm tarayıcılar aynı anda sinyal göndermeyecekti.
Neyse ki, bu toplayıcı varsayılan olarak etkin değildi. Çalışması için tarayıcının dahili bir izin listesinde (allow-list) bulunması gerekiyordu ve bu liste boş olarak geliyordu. Dolayısıyla, şu ana kadar herhangi bir veri toplanmadığı veya gönderilmediği düşünülüyor. Ancak, izin listesini doldurmak küçük bir güncelleme gerektiriyordu. Yeni bir izin istemeyen ve kullanıcıya fark ettirmeyen bu güncelleme, eklentinin zaten cihazda bulunan şifreleme anahtarı, hedef URL, zamanlayıcı ve depolama mantığı sayesinde anında veri toplamaya başlayabilirdi. Bu durum, eklentinin bir kere satın alındıktan sonra arka kapıya dönüştürülmeye hazır olduğunu gösteriyor.
Sonuç ve Değerlendirme
ModHeader'ın tam olarak ne zaman satın alındığı ve yeni sahibinin kim olduğu bilinmiyor. Ancak eklenti, 2023 yılında arama sonuçlarına reklam enjekte ettiği için şikayet almıştı ve o dönemde reklam destekli hale geldiği belirtiliyor. Eklentinin kendi sitesinde hâlâ 'kullanıcı verisi toplamadığı' belirtilse de, bu durum gizli bir tarama geçmişi toplayıcısıyla çelişiyor. Ayrıca, eklentinin kurulum, güncelleme ve kaldırma sırasında extensions-hub[.]com adresine ping gönderdiği ve her sayfada çalışan bir scriptin istek meta verilerini düz metin olarak yerel depoladığı tespit edildi. Bu parçaların aktif olduğu ve veri sızdırdığı anlaşılıyor.
Stripe OLT, domainleri gerçek ve işleyen bir altyapıya bağladı. stanfordstudies[.]com domaininin Stanford Üniversitesi ile hiçbir ilgisi olmadığı, eski bir domainin yeniden kullanılarak OpenSearch arka ucu olarak yapılandırıldığı; extensions-hub[.]com'un ise reklam amaçlı kurulduğu belirtildi. Her iki API uç noktası da aynı Amazon sunucusuna çözümleniyordu. Araştırmacılar, zayıf sinyallerin Çinli bir operatöre işaret ettiğini ancak kesin bir kanıt olmadığını vurguladı. Basitleştirilmiş Çince yerel ayarı, 'tuz' (salt) belirtecinin Çince karakterle yazılması ve Çin kaynaklı bir e-posta sağlayıcısı bu sinyaller arasındaydı.
Sistem Güvenliği
Bu olay, popüler tarayıcı eklentilerinin sessizce satın alınıp veri toplama araçlarına dönüştürülmesi modelini bir kez daha gözler önüne seriyor. 2021'de Brian Krebs'in de belirttiği gibi, bu tür eklentiler güven kazanıp yaygınlaştıktan sonra kötü niyetli aktörlere satılabiliyor. ModHeader örneğinde, eklenti şifreleme ve bir geçit mekanizması kullanarak otomatik tarayıcıları atlatacak şekilde tasarlanmıştı. Bu yıl içinde başka Chrome eklentilerinin de 'anonim analitik' etiketi altında veri topladığı veya Workday ile NetSuite'i taklit ederek oturum çerezlerini çaldığı tespit edilmişti. Başlık düzenleyiciler ve çerez yöneticileri gibi geniş izinlere sahip eklentiler, güven kırıldığında büyük bir tehdit oluşturabiliyor.
Kullanıcıların yapması gerekenler: ModHeader'ı Chrome ve Edge'den kaldırın. Tarayıcınız zaten devre dışı bırakmış olabilir. Kaldırma işlemi depolanan verileri temizler, ancak profil senkronizasyonu veya yönetilen eklenti politikalarının eklentiyi geri getirmediğinden emin olun. Eğer eklentiye API anahtarları, taşıyıcı tokenlar veya oturum çerezleri gibi hassas bilgiler girdiyseniz, bunları hemen değiştirin. Araştırmacılar, eklentinin başlık geçmişi özelliğinin tam HTTP başlıklarını diske kaydettiğini buldu. Savunma ekipleri için ise, DNS ve proxy seviyesinde stanfordstudies[.]com ve extensions-hub[.]com domainlerini engelleyip kayıt altına almaları ve eklenti ID'si ile api.stanfordstudies[.]com/app/log adresine yapılan POST isteklerini loglarda aramaları öneriliyor. Stripe OLT, Defender ve Sentinel için hazır KQL sorguları yayınladı.
Teknik Analiz
Bu olay, tarayıcı eklentisi denetimlerinin yeterli olmadığını gösteriyor. Otomatik tarayıcılar, şifrelenmiş veri ve devre dışı bırakılmış yükleme mekanizması nedeniyle ModHeader'ı düşük riskli olarak değerlendirmişti. Ancak eklenti, imzalı ve popüler olduğu için güvenilir kabul edilmişti. Mağaza imzası, bir dosyanın nereden geldiğini kanıtlar, ne yaptığını değil. Gelecekte benzer bir yapıyla karşılaşmamak için, eklenti denetimlerinin test sırasında tetiklenmeyen uyuyan kod yollarını, yeni geri çağırma uç noktalarını ve bir rutin güncellemeyle eklenebilecek yetenekleri de kapsaması gerekiyor.
Kaynak: thehackernews.com