Aktif Olmayan Komut Dosyası Ekleme Özelliğine Sahip, 10 Milyondan Fazla Kuruluma Sahip Chrome Reklam Engelleyici Bulundu Linux

Aktif Olmayan Komut Dosyası Ekleme Özelliğine Sahip, 10 Milyondan Fazla Kuruluma Sahip Chrome Reklam Engelleyici Bulundu

YouTube için popüler bir Google Chrome reklam engelleme uzantısının analizi, rastgele JavaScript kodu yürütme yeteneğini ortaya çıkardı. Island'a gör...

YouTube için popüler bir Google Chrome reklam engelleme uzantısının analizi, rastgele JavaScript kodu yürütme yeteneğini ortaya çıkardı.

Island'a göre YouTube için Adblock adlı uzantı, 10 milyonun üzerinde yükleme sayısına sahip ve Chrome Web Mağazası'nda Öne Çıkanlar rozetini taşıyor.

Uzantının (ID: cmedhionkhpnakcndndgjdbohmhepckk) açıklaması, kullanıcıların video paylaşım platformunun yanı sıra YouTube'u yükleyen harici sitelerde reklamlar gibi web sayfası öğelerinin (önceden gösterilen reklamlar dahil) görüntülenmesini engellemesine olanak tanıdığını belirtir. Eklenti vaat edilen işlevselliği sunarken, aynı zamanda isteğe bağlı JavaScript kodunu çalıştırma yeteneklerine de sahiptir.

Araştırmacılar Oleg Zaytsev ve Shachar Gritzman, The Hacker News ile paylaşılan bir raporda, "Ayrıca, herhangi bir web sitesinde rastgele JavaScript yürütülmesi için mimari bileşenleri de içeriyor; tek bir sunucu tarafı yapılandırma değişikliğiyle, uzantı güncellemesi olmadan, mağaza incelemesi olmadan ve bir şeyin değiştiğine dair görünür bir işaret olmadan etkinleştiriliyor." dedi.

"Pratik anlamda bu, sayfaları okumak, verileri çalmak ve kişisel hesaplarda, iş uygulamalarında, yönetici panellerinde ve diğer hassas tarayıcı oturumlarında kullanıcı olarak hareket etmek anlamına gelebilir."

Island, kötü amaçlı yükün kullanıcılara bu şekilde dağıtıldığına dair hiçbir kanıt bulunmadığını burada vurgulamakta fayda var, ancak bu özelliğin yalnızca varlığı, o zamandan beri kötü amaçlı yazılım nedeniyle mağazadan kaldırılan diğer reklam engelleme uzantılarıyla birleştiğinde gizlilik ve güvenlik risklerini artırıyor, diye ekledi.

Kaldırılan ilgili uzantıların listesi aşağıda listelenmiştir:

Chrome için Adblock (Kimlik: onomjaelhagjjojbkcafidnepbfkpnee)

Sizin için Adblock (ID: ogcaehilgakehloljjmajoempaflmdci)

AdBlock Suite (Kimlik: gekoepiplklhniacchbbgbhilidiojmb)

YouTube için Adblock, 2014'ten beri Chrome Web Mağazası'nda bulunuyor ve dört yıl sonra mülkiyeti değişmeden önce temel bir YouTube reklam engelleyici olarak başlıyor. Uzantının ilk yinelemelerinin, Haziran 2024'te kaldırılmasına rağmen Unistream SDK adlı bir reklam enjeksiyon yazılım geliştirme kiti (SDK) ile birlikte gönderildiği tespit edildi.

Island ayrıca, YouTube odaklı ismine rağmen uzantının geniş site erişimine sahip olduğunu da keşfetti. Bu düzeyde erişim, genellikle istekleri denetlemesi, sayfaları değiştirmesi, öğeleri gizlemesi ve reklam dağıtım sistemlerindeki değişikliklere yanıt vermesi gereken reklam engelleyiciler için yaygındır. Bu vakadaki endişe, bu erişimin uzaktan kumandalı komut dosyası yürütmeyle nasıl birleştirildiğiydi.

Island'ın analizi sırasında uzantı, mevcut URL "youtube.com"u içerdiğinde etkinleşen bir kontrol ekledi. Ancak kontrol, ana makine adını, çerçeve kaynağını veya gömülü oynatıcı bağlamını doğrulamak yerine, URL'nin herhangi bir yerinde dizeyi aradı.

Bu, aşağıdaki URL modellerinde gösterildiği gibi youtube.com'un URL'de herhangi bir yere yerleştirilmesiyle kontrolün atlanabileceği anlamına geliyordu:

www.facebook.com/page?ref=youtube.com

bank.example.com/search?q=youtube.com

internal.corp.com/redirect?from=youtube.com

Island, "Endişe tek bir şüpheli kod satırı değil" dedi. "Bu, şu kombinasyonun sonucudur: tüm site erişimine sahip yüksek yüklemeli bir uzantı, uzaktan kontrollü bir enjeksiyon yolu, önceden reklam yerleştirme altyapısı, büyük bir sahiplik ve kod tabanı değişikliği ve kötü amaçlı yazılım nedeniyle Chrome Web Mağazası'ndan kaldırılan ilgili uzantılar."

Açıklama, Palo Alto Networks Birim 42'nin, bağlı kuruluş pazarlaması yoluyla para kazanmak amacıyla tüketici markalarını taklit eden 18 tarayıcı uzantısı tespit ettiğini söylemesinin ardından geldi.

Unit 42, "Kurulumun ardından tüm uzantılar .shop alan adını yeni bir sekmede açıyor" dedi. ".shop alanı başka bir alana yönlendiriyor. Alan adı, daha fazla işlem yapılması gerektiğini belirten bir sayfa sunuyor. Sayfa, uyumsuzluk sorunlarından bahsediyor ve kullanıcılardan oyun odaklı bir tarayıcı yüklemelerini istiyor."

Güncelleme: AdBlock Ltd., en son sürümün bildirilen yola yönelik olduğunu söylüyor

AdBlock Ltd'nin kurucusu Mathias Rochus, yayınlandıktan sonra The Hacker News'e e-posta göndererek uzantının bu özelliği hiçbir zaman kullanmadığını ve kullanmayacağını belirterek, yüzde 4,4 puan aldığını belirtti.

binlerce yorumun kırmızısı.

Şirketin, dizeyi URL'nin herhangi bir yerinde eşleştirmek yerine YouTube ana bilgisayar adını doğrulamak ve sunucu yapılandırmasının sayfada yürütülebilir bir komut dosyası oluşturmasını veya enjekte etmesini önlemek için bir Chrome Web Mağazası güncellemesi hazırladığını söyledi.

Chrome Web Mağazası artık uzantının 7.2.3 sürümünü sunuyor. The Hacker News tarafından yapılan statik bir inceleme, Island'ın raporunda atıfta bulunulan güvenilir oluşturma öğesi komut dosyası adının tam olarak pakette artık mevcut olmadığını ve daha önceki zayıf youtube.com dize kontrolünün, ana bilgisayar adı tabanlı doğrulamayla değiştirildiğini ortaya çıkardı.

Ancak uzantı yine de uzak kuralları getirir, komut dosyası kurallarını destekler ve sayfanın ANA dünyasında kodu çalıştırır. Bu yetenekler bir reklam engelleyici için alışılmadık bir durum değildir ancak uzak yapılandırmanın ve komut dosyası argümanlarının ne kadar sıkı kısıtlandığına bağlı oldukları için hassas olmaya devam ederler.

Statik incelememiz, bildirilen belirli yolun büyük olasılıkla ele alındığını, ancak daha geniş mimariyi risksiz olarak adlandırmadan önce çalışma zamanı doğrulamasının gerekli olacağını gösteriyor.

Rochus ayrıca, güvenilir-oluşturma-elemanı da dahil olmak üzere raporda adı geçen güvenilir komut dosyalarının, şirketinin yazdığı kod olmadığını söyledi. Bunların, genel reklam engelleyicilerin gönderdiği, AdGuard'ın açık kaynaklı komut dosyası kitaplığının bir parçası olduklarını ve uzantının sunucusunun, hangi yerleşik komut dosyasının çalışacağını seçen yapılandırmayı gönderdiğini söyledi.

Düzeltme: Bu makalenin önceki bir sürümü, güvenilir-oluşturma-elemanını, uzantı yazarı tarafından tanımlanan bir komut dosyası olarak tanımlıyordu. Komut dosyası, diğer reklam engelleyicilerin de gönderdiği, AdGuard'ın açık kaynaklı komut dosyası kitaplığının bir parçasıdır. Metin düzeltildi. Bu makale ayrıca 7.2.3 sürümünün statik incelemesini yansıtacak şekilde güncellendi.

Paylaş: