یک محقق امنیتی مستقل کد‌های مخرب را در ۱۸ افزونه کروم که در حال حاضر در فروشگاه وب کروم موجود است، شناسایی کرده است. در مجموع، افزونه‌ها بیش از ۵۷ میلیون کاربر فعال دارند. هنوز شواهد بیشتری وجود دارد که نشان می‌دهد افزونه‌های کروم باید با نگاه انتقادی ارزیابی شوند.

افزونه‌های کروم برنامه‌هایی هستند که در بالای گوکل کروم ساخته شده‌اند و به شما امکان می‌دهند ویژگی‌های اضافی را به مرورگر خود اضافه کنید. وظایفی که این ویژگی قابل تنظیم می‌تواند انجام دهد بسیار گسترده است، اما برخی از برنامه‌های افزودنی محبوب می‌توانند رمز عبور شما را به‌طور خودکار پر کنند، تبلیغات را مسدود کنند، دسترسی با یک کلیک به لیست کار‌های شما را فعال کنند یا ظاهر یک شبکه اجتماعی را تغییر دهند. متاسفانه از آنجایی که افزونه‌های کروم بسیار قدرتمند هستند و می‌توانند کنترل زیادی بر تجربه مرور شما داشته باشند، هدف محبوبی برای هکر‌ها و سایر بازیگران بد هستند.

در اوایل این ماه، محقق امنیتی مستقل ولادیمیر پالانت کدی را در یک افزونه مرورگر به نام PDF Toolbox کشف کرد که به آن اجازه می‌دهد کد مخرب جاوا اسکریپت را به هر وب‌سایتی که بازدید می‌کنید، تزریق کند. ظاهرا این افزونه یک پردازشگر PDF اولیه است که می‌تواند کار‌هایی مانند تبدیل اسناد دیگر به PDF، ادغام دو PDF در یک فایل PDF و بارگیری PDF از صفحات باز را انجام دهد.

این آخرین ویژگی است که جعبه ابزار PDF را برای نیت بد باز می‌گذارد. گوگل از توسعه دهندگان برنامه‌های افزودنی می‌خواهد که فقط از حداقل مجوز‌های لازم استفاده کنند. برای دانلود PDF از صفحاتی که در حال حاضر فعال نیستند، PDF Toolbox باید بتواند به هر صفحه وب که در حال حاضر باز است، دسترسی داشته باشد. بدون این ویژگی، نمی‌تواند به طور شبه قانونی به مرورگر شما به همان میزان دسترسی داشته باشد.

در حالی که جعبه ابزار PDF ظاهرا می‌تواند تمام کار‌های PDF را که ادعا می‌کند، انجام دهد، همزمان یک فایل جاوا اسکریپت را از یک وب سایت خارجی دانلود و اجرا می‌کند که می‌تواند حاوی کد برای انجام تقریبا هر کاری باشد، از جمله ضبط هر چیزی که در مرورگر خود تایپ می‌کنید. وب سایت‌های جعلی و کنترل آنچه را در وب می‌بینید، در دست بگیرید. PDF Toolbox با شبیه سازی کد مخرب به یک تماس API قانونی، مبهم کردن آن به طوری که دنبال کردن آن دشوار است و به تعویق انداختن تماس مخرب برای ۲۴ ساعت، توانسته است از آخرین بروزرسانی از فروشگاه وب کروم توسط گوگل حذف نشود. علیرغم اینکه پالانت گزارشی در مورد کد مخرب خود ارائه کرده است، هنوز در دسترس است.

پالانت هیچ راهی برای تایید عملکرد کد مخرب در جعبه ابزار PDF در اولین باری که آن را کشف کرد، نداشت؛ با این حال، او ۱۷ افزونه مرورگر دیگر را فاش کرد که از همان ترفند برای دانلود و اجرای یک فایل جاوا اسکریپت استفاده می‌کنند. این موارد عبارتند از Autoskip for Youtube، بلوک تبلیغات کریستال، Brisk VPN، Clipboard Helper، Maxi Refresher، ترجمه سریع، نمای Easyview Reader، Zoom Plus، Base Image Downloader، نشانگر‌های سرگرم کننده کلیکیش، حداکثر تغییر رنگ برای Youtube، حالت Readl Reader، مرکز دانلود تصویر، Font Customizer، Easy Undo Closed Tabs، OneCleaner و دکمه Repeat، اگرچه احتمالا افزونه‌های آلوده دیگری نیز وجود دارد. این‌ها تنها مواردی بودند که پالانت در نمونه‌ای از حدود ۱۰۰۰ اکستنشن یافت. 

علاوه بر یافتن افزونه‌های آسیب‌دیده بیشتر، پالانت توانست کار‌هایی را که کد مخرب انجام می‌داد (یا حداقل در گذشته انجام داده بود) تایید کند. افزونه‌ها جستجو‌های گوگل کاربران را به موتور‌های جستجوی شخص ثالث هدایت می‌کردند، احتمالا در ازای هزینه‌های کوچک وابسته. با آلوده کردن میلیون‌ها کاربر، توسعه‌دهندگان می‌توانند مقدار زیادی سود به دست آورند.

این برنامه‌های افزودنی می‌توانند داده‌های مرورگر را جمع‌آوری کنند، تبلیغات اضافی را به هر صفحه وب که کسی بازدید می‌کند اضافه کرده و یا حتی ثبت اطلاعات اعتبار بانکی آنلاین و شماره کارت اعتباری را انجام دهند. جاوا اسکریپت مخربی که بدون علامت در مرورگر وب شما اجرا می‌شود، می‌تواند فوق‌العاده قدرتمند باشد.

اگر یکی از افزونه‌های آسیب‌دیده را روی رایانه‌تان نصب کرده‌اید، اکنون باید آن را حذف کنید؛ همچنین ایده خوبی است که یک ممیزی سریع از همه برنامه‌های افزودنی دیگری که نصب کرده‌اید، انجام دهید تا مطمئن شوید که هنوز از آن‌ها استفاده می‌کنید و همه آن‌ها مشروع به نظر می‌رسند. اگر نه، باید آن‌ها را نیز حذف کنید، در غیر این صورت، این را به عنوان یادآوری در نظر بگیرید تا همیشه مراقب بدافزار‌های احتمالی باشید.

منبع: popsci