Google ve Microsoft, Chrome ve Edge tarayıcılarında yaklaşık 1.6 milyon kez indirilen popüler ModHeader eklentisini, resmi mağaza sürümünde gizli bir tarama geçmişi toplayıcısı keşfedilmesi üzerine kaldırdı. Birleşik Krallık merkezli güvenlik firması Stripe OLT'nin analizine göre, bu toplayıcı uyku modundaydı ve boş bir izin listesi nedeniyle etkinleştirilmemişti. Henüz herhangi bir kullanıcı verisinin toplandığına dair kanıt bulunmamakla birlikte, sistemin tamamen işlevsel olması ve rutin bir güncellemeyle aktif hale getirilebilmesi endişe yaratıyor.
Stripe OLT, eklentinin Chrome Web Mağazası imzasını doğrulayarak kötü amaçlı kodun sahte bir kopya değil, bizzat orijinal eklenti içinde yer aldığını tespit etti. İnceleme, Chrome'daki yaklaşık 900 bin kullanıcıyı kapsarken, Edge'deki 700 bin kullanıcı için de benzer bir durum söz konusu. Microsoft, 3 Temmuz'da Edge mağazasından eklentiyi kaldırırken, Google bir hafta sonra 10 Temmuz'da Chrome mağazasından çekti.
Version 7.0.18 (ID: idgpnmonknjnojddfkpgkljpfnnfcklj) olarak bilinen eklenti, HTTP başlıklarını düzenleme işlevini yerine getirirken, arka planda çalışan minify edilmiş kodda ikinci bir sistem barındırıyordu. İlk çalıştırmada bir cihaz parmak izi oluşturuyor ve sabit kodlanmış bir şifreleme anahtarı yüklüyordu. Kullanıcı gezindikçe, her sayfanın alan adını şifreleyip yerel olarak depoluyor, en fazla 1000 farklı alan adına kadar. Günde bir kez, bir zamanlayıcı şifrelenmiş listeyi parmak iziyle birlikte api.stanfordstudies[.]com adresine gönderip yerel kopyayı siliyordu. Yükleme zamanı her kurulum için farklı ayarlanmıştı, böylece toplayıcı etkinleştirilseydi tüm tarayıcılar aynı anda sinyal göndermeyecekti. HackIndex ve araştırmacı Yunus Aydın'ın ayrı ayrı yaptığı incelemeler de aynı mekanizmayı doğruladı.
Teknik Analiz
Neyse ki, toplayıcı yalnızca tarayıcınız dahili bir izin listesindeki bir girişle eşleşirse çalışıyordu ve bu liste boş geliyordu. Kontrol her seferinde başarısız olduğu için toplayıcı hiçbir alan adı toplamadan duruyordu. Ancak bu listeyi doldurmak, yeni izin gerektirmeyen ve kullanıcı müdahalesi olmadan gerçekleşen küçük bir güncellemeydi. Sabit kodlanmış anahtar, hedef URL, zamanlayıcı ve depolama mantığı zaten cihazda mevcuttu. Ayrıca, eklenti kurulum, güncelleme ve kaldırma sırasında extensions-hub[.]com adresine ürün, sürüm ve tarayıcı bilgisi gönderiyordu. Her sayfada çalışan bir betik, gerçek istek meta verilerini düz metin olarak yerel depolamaya kaydediyordu ki bu kısım açıkça çalışıyordu.
Gelecekte Ne Bekleniyor?
Otomatik denetim araçları ModHeader'ı düşük riskli olarak değerlendirmiş, hatta bazıları 100 üzerinden 95 puan vermişti. Tasarımın her parçası farklı bir denetim türünü atlatmak için tasarlanmıştı: Veriler şifrelenmişti, bu nedenle tarayıcı şifreli metin görüyordu; yükleme kapalıydı, bu nedenle sanal alan hiçbir şeyin dışarı çıkmadığını görüyordu; kötü amaçlı kod, meşru bir kod tabanına minify edilmişti; uç noktaların kötü amaçlı bir geçmişi yoktu; imzalı ve popüler bir eklenti güvenilir kabul ediliyordu. Mağaza imzası, dosyanın nereden geldiğini kanıtlıyor, ne yaptığını değil.
Stripe OLT, alan adlarını gerçek ve bakımı yapılan altyapıya bağladı. stanfordstudies[.]com'un Stanford'la bir ilgisi yok; eski bir alan adı, OpenSearch arka ucu olarak kullanılıyor. extensions-hub[.]com ise reklam amaçlı kurulmuş. İki API uç noktası, analiz sırasında aynı Amazon sunucusuna çözümleniyordu, bu da tek bir operatörü işaret ediyor. Basitleştirilmiş Çince yerel ayarı, 'tuz' belirteci için Çince karakter kullanımı ve Çin merkezli bir e-posta sağlayıcısı gibi zayıf sinyaller, Çince konuşan bir operatöre işaret ediyor. Araştırmacılar herhangi bir grup adı vermiyor. ModHeader, 2023'te arama sonuçlarına reklam enjekte ettiği için şikayet almıştı ve o dönemlerde reklam destekli hale gelmişti. Kimin devraldığı doğrulanmış değil. Eklentinin kendi sitesi, kullanıcı verisi toplamadığını belirten bir reklam planı yayınlıyor, bu da yerleşik bir tarama geçmişi toplayıcısıyla çelişiyor. Geliştirici, bulgulara henüz kamuoyunda yanıt vermedi.
Bu olay, 2021'de Brian Krebs'in tanımladığı popüler eklentilerin sessizce satın alınıp veri boru hattına dönüştürülmesi modeline benziyor. Bu yıl içinde bir dizi Chrome eklentisi 'anonim analitik' etiketi altında veri toplarken yakalandı ve ayrı bir grup Workday ile NetSuite'i taklit ederek oturum çerezlerini çaldı. Başlık düzenleyicileri ve çerez yöneticileri çalışmak için geniş izinlere ihtiyaç duyar ve güven kırıldığında etki alanı geniş olur. Ne yapmalı? ModHeader'ı Chrome ve Edge'den kaldırın; tarayıcınız zaten devre dışı bırakmış olabilir. Kaldırma işlemi depolanan verileri siler, ancak profil senkronizasyonu veya yönetilen eklenti politikalarının onu geri getirmediğinden emin olun. Eğer API anahtarları, taşıyıcı tokenlar veya oturum çerezleri gibi gizli bilgileri eklentiye yapıştırdıysanız, bunları değiştirin; araştırmacılar başlık geçmişi özelliğinin tam HTTP başlıklarını diske kaydettiğini buldu. Savunma için, DNS ve proxy'de stanfordstudies[.]com ve extensions-hub[.]com'u engelleyin ve günlüklerde eklenti kimliği ile api.stanfordstudies[.]com/app/log adresine yapılan POST'ları arayın. Stripe OLT, Defender ve Sentinel için hazır KQL sorguları yayınladı.
Nasıl Önlem Alınmalı?
Bu kaldırma işlemi tek bir eklentiyi ele alıyor. Ancak asıl endişe verici olan tasarım: Mağaza tarafından doğrulanmış, eksiksiz bir toplayıcı, güvenilir ve popüler bir aracın içinde yer alıyordu ve boş listeyi dolduran sıradan bir güncellemeyle etkinleştirilmek üzere inşa edilmişti. Otomatik tarayıcılar onu düşük riskli olarak değerlendirdi ve bu şekilde inşa edilen bir sonraki araç da aynı derecede temiz görünebilir. Pratik ders dar: Eklenti incelemesi, testlerin tetiklemediği uyku modundaki kod yollarını, yeni eve dönüş uç noktalarını ve bir el değiştirmeden sonra rutin bir güncellemeyle eklenebilecek bir yeteneği izlemelidir.
Kaynak: thehackernews.com