Teknoloji

Chrome Web Mağazası’nda milyonları etkileyen zararlı uzantılar tespit edildi

google chromeos web mağazası

Google Chrome Web Mağazası üzerinde popüler hale gelmiş, yüz binlerce kişi tarafından indirilen bazı tarayıcı uzantılarının, aslında kullanıcıları izlediği ve potansiyel olarak güvenlik riski taşıyan yönlendirmeler yaptığı ortaya çıktı. Koi Security isimli siber güvenlik şirketinin yaptığı araştırmalara göre, bu uzantıların bir kısmı kullanıcının tarayıcı geçmişini toplayarak üçüncü taraf sunuculara aktarıyor. Öne çıkan uzantılar VPN hizmetleri, renk seçiciler, emoji klavyeleri ve ses artırıcılar gibi sıradan işlevler sunuyor. Fakat bu görünüm, zararlı amaçların üzerini örten bir kılıf olarak kullanılıyor.

Güvenlik araştırmacıları, bu uzantıların birçoğunun mağazada doğrulanmış etiket taşıdığını ve yüzlerce olumlu kullanıcı yorumu aldığını belirtiyor. Ne var ki bu durum, aslında kötü niyetli faaliyetleri olan yazılımların güvenilir gibi görünmesine neden oluyor. Her ne kadar bazı uzantılar mağazadan kaldırılmış olsa da, büyük bir kısmının hâlâ kullanıcıların erişimine açık olduğu bildiriliyor. Bu uzantıların sayısı 11’e yaklaşırken toplam indirme sayısı da 1,7 milyonu geçmiş durumda.

Chrome Web Mağazası üzerinden indirilen uzantılar arka planda kullanıcı verisini sunuculara aktarıyor

Bu zararlı eklentilerin arka planda çalıştığı ve tarayıcının yönlendirme sistemini kullanarak kullanıcıyı izlediği ifade ediliyor. Chrome uzantı API’si üzerinden çalışan bir sistemle, her yeni sekme açıldığında ya da bir bağlantıya tıklandığında devreye giren dinleyiciler aracılığıyla veri toplanıyor. Bu sistem, ziyaret edilen sayfanın URL’sini ve kullanıcıya özel bir kimlik numarasını uzaktaki bir sunucuya iletiyor. Sunucu ise bu veriye karşılık olarak, kullanıcıyı başka bir siteye yönlendirebilecek bir bağlantı gönderebiliyor.

Uzantıların ilk sürümlerinde zararlı kodların bulunmadığı, bu kodların daha sonraki güncellemelerle eklendiği ifade ediliyor. Google Chrome’un otomatik güncelleme yapısı sayesinde kullanıcılar bu tür değişiklikleri fark etmiyor. Bu güncellemeler sırasında kullanıcıdan herhangi bir onay alınmadığı için, zararlı içerikler sessizce sisteme sızabiliyor. Tüm bunların yanında, bazı eklentilerin yıllarca güvenli şekilde çalıştıktan sonra tehlikeli hale gelmesi, bu yapıların dış müdahaleyle ele geçirilmiş olabileceğini düşündürüyor.

Söz konusu uzantılar arasında “Volume Max — Ultimate Sound Booster”, “Unlock Discord — VPN Proxy”, “Emoji keyboard online — copy&paste your emoji” gibi örnekler yer alıyor. Bu araçlar kullanıcıya gerçek işlevsellik sunarken, aynı anda izinsiz şekilde veri topluyor. Hatta LayerX adlı başka bir güvenlik firması da geçtiğimiz ay “Volume Max” uzantısı hakkında benzer uyarılarda bulunmuştu. Ancak o dönemde herhangi bir kötü amaçlı eylem doğrudan tespit edilememişti.

Buna rağmen Koi Security’nin yeni araştırmaları, bu uzantıların özellikle kullanıcı trafiğini yönlendirme potansiyeline sahip olduğunu vurguluyor. Ziyaret edilen sayfalar dışında, kullanıcıların hangi IP adreslerinden bağlandığı gibi bilgiler de toplanabiliyor. Elde edilen veriler, kullanıcı profillemesi yapılmasına ve hatta daha sonra yapılan siber saldırılarda hedef seçimine katkı sağlayabiliyor. Bu da söz konusu uzantıların yalnızca reklam odaklı değil, daha ciddi güvenlik tehditleri taşıdığını gösteriyor.

Bu zararlı uzantıların yalnızca Chrome Web Mağazası’nda değil, aynı zamanda Microsoft Edge’in eklenti mağazasında da bulunduğu tespit edildi. Koi Security’nin verdiği bilgiye göre, Edge tarafındaki uzantılar 600 bin kez indirildi. Böylece toplamda 2,3 milyondan fazla tarayıcı kullanıcısı doğrudan etkilenmiş oldu. Bu rakam, şimdiye kadar belgelenmiş en büyük tarayıcı tabanlı veri toplama operasyonlarından biri olma özelliği taşıyor.

Kullanıcılara, listelenen bu uzantıları derhal tarayıcılarından kaldırmaları öneriliyor. Bunun yanında tarayıcı verilerini temizlemeleri, sistemlerinde kötü amaçlı yazılım taraması yapmaları ve kullandıkları hesaplarda olağan dışı etkinlikleri izlemeleri de önemli görülüyor. Her ne olursa olsun, eklenti mağazasında görünen onay işareti ya da yüksek puanlar, bir uzantının tamamen güvenli olduğunu garanti etmiyor. Bu da dijital güvenliğin kullanıcı farkındalığı ile doğrudan ilişkili olduğunu ortaya koyuyor.