خبرآسیب‌پذیری‌ها

سرقت اطلاعات ۱.۷ میلیون کاربر توسط ۵۰۰ افزونه مرورگر کروم

گوگل بعد از اینکه متوجه شد برخی از افزونه ­های مرورگر کروم این شرکت در حال انجام تبلیغات ناخواسته و سرقت داده­ ها از مرورگر کاربران به سرورهایی تحت کنترل مهاجمان سایبری هستند، ۵۰۰ افزونه مخرب را از فروشگاه وب خود حذف کرد.

این افزونه­ های حذف شده، بخشی از برنامه تبلیغات آنلاینی هستند که با هدف گسترش بدافزارها مورد استفاده قرار می­ گیرند تا از طریق بتوانند درون وب سایت­ های معتبر گسترش یابند. بنا به گفته گوگل، این برنامه تبلیغاتی از ماه ژانویه سال ۲۰۱۹ میلادی آغاز به کار کرده است؛ هرچند شواهد نشان می ­دهد که طرح ابتدایی این برنامه، از سال ۲۰۱۷ در حال پایه­ ریزی بوده است.

این یافته ­ها بخشی از تحقیقات مشترک محقق امنیتی به نام «جمیله کایا» و Duo Security است که ۷۰ افزونه مرورگر کروم را با بیش از ۱.۷ میلیون نصب فعال، کشف کردند. پس از به اشتراک­ گذاری خصوصی این موضوع با گوگل، جستجوی این شرکت برای ۴۳۰ افزونه مرورگر مخرب دیگر ادامه یافت. همه این افزونه ­ها از آن زمان تاکنون غیرفعال شده­ اند.

کایا و Duo Security در این گزارش آورده ­اند که: «کاربرد این برنامه تبلیغاتی مخرب به عنوان نوعی مسیر حمله، تا زمانی که همه از تبلیغات قابل ردیابی استفاده نکنند، همچنان ادامه خواهد یافت».

 

نوعی کمپین مخرب افشا نشده

محققان با استفاده از ابزار ارزیابی امنیت افزونه­ های مرورگر کروم متعلق به Duo Security که CRXcavator نام دارد، قادر به بررسی افزونه­ های این مرورگر هستند. این افزونه­ های مخرب، مرورگر کاربر را به صورت محرمانه به سرور فرماندهی و کنترل (C2) متصل کرده و دسترسی به داده ­های مرورگر کاربران را بدون اطلاع­شان امکان­پذیر می­ کند.

افزونه ­هایی که تحت پوشش خدمات تبلیغاتی فعالیت می ­کردند دارای کدهایی شبیه به هم ولی نام توابع متفاوت بودند. به همین دلیل گوگل توانایی تشخیص سریع آن ها را نداشته است. علاوه بر دسترسی ­های گسترده ­ای که این افزونه ­ها از کاربر می­ گیرند، به صورت دوره ­ای هم به دامینی هم نام با نام خود متصل می ­شوند تا دستورالعمل غیرفعال ­سازی نصب خود را دریافت کنند.

لیست نام این افزونه ها در ادامه آمده است:

لیست افزونه های مخرب کروم

 

پس از برقراری تماس اولیه با سایت، افزونه ­ها متعاقباً با یک دامنه C2 ارتباط برقرار کرده و منتظر دستورهای بعدی، اعلام مکان ­هایی برای بارگذاری داده های کاربر و نیز دریافت لیست به ­روز شده از تبلیغات مخرب و دامنه ­های هدایت شده به آن ها می­ مانند. این افزونه­ ها در نهایت مرورگر کاربر را به ترکیبی از سایت­ های فیشینگ و قانونی هدایت می ­کنند.

در این گزارش آمده است: «بخش بزرگی از این جریان­ های تبلیغی، منجر به تبلیغاتی مانند Dell، Best Buy و Macy می ­شوند. برخی از این تبلیغات می ­توانند قانونی تلقی شوند. با این وجود، ۶۰ تا ۷۰ درصد از زمانی که کاربر به وب سایت دیگری هدایت می­ شود، جریان ­های تبلیغاتی کاربر را به یک سایت مخرب می ­فرستند».

 

از افزونه ­هایی که داده ­های شما را سرقت می­ کنند، آگاه باشید

این نخستین­ باری نیست که افزونه­ هایی بر روی گوگل کروم کشف شده­ اند که داده­ های کاربران را به سرقت می ­برند. در ماه جولای سال گذشته میلادی نیز «سام جادالی»، محقق امنیتی به همراه واشنگتن پست، از نشت داده گسترده­ ای پرده­ برداری کردند که“DataSpii”  نامیده می­ شود. در این روش، از طریق افزونه­ های نصب شده بر روی مرورگرهای کروم و فایرفاکس، از داده­ های بیش از ۴ میلیون کاربر سوءاستفاده شده است.

این افزونه ­ها، داده ­های مرورگر را که حتی شامل اطلاعات شخصی کاربران هستند، جمع­ آوری کرده و آن ها را با یک کارگزار داده به اشتراک می­ گذارند تا آن نیز این اطلاعات را به سوی یک شرکت تحلیل داده که “Nacho Analytics” گفته می­ شود، ارسال کند. این شرکت تحلیلی، داده­ های جمع ­آوری و تحلیل شده را به مشتریان خود می­ فروشد.

در پی انجام چنین اقدام­ هایی، شرکت گوگل از ۱۵ اکتبر سال ۲۰۱۹ افزونه ­ها را ملزم ساخته است تا در هنگام اخذ دسترسی، فقط برای «حداقل داده ممکن» دسترسی بگیرند. علاوه بر این، هر افزونه­ ای که اقدام به جمع­ آوری داده کرده و از قوانین و مقررات موجود پیروی نکند، غیرفعال خواهد شد.

در حال حاضر، مدیران وب سایت­ ها لازم است مجوزهای دسترسی افزونه ­های خود را بازبینی کرده و افزونه ­هایی که به ندرت از آن ها استفاده می شود را غیرفعال کرده یا از سایر جایگزین­ های نرم­ افزاری آن ها استفاده کنند که به دنبال دسترسی به فعالیت­ های مرورگر نیستند.

منبع: thehackernews

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

6 − سه =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.