Chrome Web Mağazası’nda yer alan 100’ü aşkın uzantının kullanıcı verilerini toplayan geniş kapsamlı bir operasyonla bağlantılı olduğu ortaya çıktı. Güvenlik araştırmacıları tarafından paylaşılan bulgulara göre toplamda 108 farklı eklenti aynı kontrol altyapısıyla ilişkilendirildi ve bu uzantılar yayınlandıkları dönemde yaklaşık 20 bin indirme sayısına ulaştı. Söz konusu eklentilerin kimlik verilerini topladığı, tarayıcı davranışlarını arka planda değiştirdiği ve bazı durumlarda aktif oturum bilgilerine erişebildiği belirtiliyor.
İncelemeyi dikkat çekici kılan unsurlardan biri, bu uzantıların farklı kategoriler altında sunulması oldu. Telegram araçları, slot ve Keno oyunları, çeviri servisleri, YouTube ve TikTok yardımcıları gibi çeşitli başlıklarla yayımlanan eklentiler, sıradan kullanıcıların dikkatini çekmeyecek şekilde tasarlandı. Bu çeşitlilik, zararlı yazılımın fark edilmeden yayılmasını kolaylaştırırken, kullanıcıların günlük kullanım alışkanlıklarına da doğrudan temas etti.
Araştırmacılar rapor yayımlandığı sırada bu eklentilerin hâlâ erişilebilir olduğunu ve kaldırılmaları için girişimlerin başlatıldığını aktarıyor. Bu durum, uzun süredir tarayıcı eklentilerini gözden geçirmeyen kullanıcılar açısından doğrudan bir risk anlamına geliyor.
Zararlı Chrome uzantılarının veri toplama yöntemleri ve etkileri
Detaylara bakıldığında, eklentilerin tek bir yöntemle sınırlı kalmadığı görülüyor. Bulgulara göre 54 uzantı, kullanıcıların oturum açma işlemi sırasında Google hesaplarına ait kimlik bilgilerini topladı. Bunun yanında Telegram odaklı bir eklentinin, aktif Telegram Web oturum verilerini her 15 saniyede bir dış sunuculara aktardığı tespit edildi. Bu durum, özellikle mesajlaşma güvenliği açısından ciddi bir açık oluşturuyor.
Öte yandan 45 uzantının, Chrome başlatıldığında kullanıcı etkileşimi olmadan rastgele internet adreslerini açabilen bir mekanizma içerdiği belirlendi. Buna ek olarak bazı eklentilerin Telegram, YouTube ve TikTok gibi popüler platformlardaki güvenlik katmanlarını devre dışı bırakarak sayfalara reklam, komut dosyası veya sahte katmanlar eklediği ifade ediliyor. Bir çeviri aracının ise kullanıcı tarafından girilen metinleri kendi sunucularına yönlendirdiği ve bu yolla hassas bilgilerin toplanabildiği belirtiliyor.
Bu vakada dikkat çeken bir diğer unsur, uzantıların görünüşte sıradan ve faydalı araçlar gibi sunulması oldu. Oyunlar, basit yardımcı araçlar, kenar çubuğu uygulamaları ve çeviri servisleri gibi kategoriler, kullanıcıların hızlıca indirip çoğu zaman uzun süre kontrol etmeden kullandığı eklentiler arasında yer alıyor. Bu da kötü niyetli yazılımların fark edilmesini zorlaştırıyor.
Uzantıların genellikle kurulumdan sonra arka planda çalışmaya devam etmesi, riskin uzun süre görünmeden devam etmesine neden oluyor. Araştırmada farklı kategorilerdeki bu eklentilerin tek bir altyapıya bağlı olduğunun anlaşılması, dağınık görünen tehditlerin aslında merkezi bir yapı tarafından yönetildiğini ortaya koyuyor.
Güvenlik uzmanları, kullanıcıların Chrome tarayıcılarında yüklü uzantıları düzenli olarak kontrol etmesini öneriyor. Özellikle Telegram, çeviri araçları, oyunlar ve oturum açma izni isteyen eklentiler dikkatle incelenmeli. Listede yer alan uzantılardan herhangi birinin kullanılması durumunda derhal kaldırılması gerektiği belirtiliyor. Telegram Web kullanan kullanıcıların aktif oturumlarını sonlandırması ve Google hesabıyla giriş yapılan eklentiler için erişim izinlerinin gözden geçirilmesi de öneriler arasında yer alıyor. Bu tür önlemler, olası veri sızıntılarının etkisini sınırlamak açısından doğrudan fayda sağlıyor.
