یک محقق امنیتی مستقل کدهای مخرب را در ۱۸ افزونه کروم که در حال حاضر در فروشگاه وب کروم موجود است، شناسایی کرده است. در مجموع، افزونهها بیش از ۵۷ میلیون کاربر فعال دارند. هنوز شواهد بیشتری وجود دارد که نشان میدهد افزونههای کروم باید با نگاه انتقادی ارزیابی شوند.
افزونههای کروم برنامههایی هستند که در بالای گوکل کروم ساخته شدهاند و به شما امکان میدهند ویژگیهای اضافی را به مرورگر خود اضافه کنید. وظایفی که این ویژگی قابل تنظیم میتواند انجام دهد بسیار گسترده است، اما برخی از برنامههای افزودنی محبوب میتوانند رمز عبور شما را بهطور خودکار پر کنند، تبلیغات را مسدود کنند، دسترسی با یک کلیک به لیست کارهای شما را فعال کنند یا ظاهر یک شبکه اجتماعی را تغییر دهند. متاسفانه از آنجایی که افزونههای کروم بسیار قدرتمند هستند و میتوانند کنترل زیادی بر تجربه مرور شما داشته باشند، هدف محبوبی برای هکرها و سایر بازیگران بد هستند.
در اوایل این ماه، محقق امنیتی مستقل ولادیمیر پالانت کدی را در یک افزونه مرورگر به نام PDF Toolbox کشف کرد که به آن اجازه میدهد کد مخرب جاوا اسکریپت را به هر وبسایتی که بازدید میکنید، تزریق کند. ظاهرا این افزونه یک پردازشگر PDF اولیه است که میتواند کارهایی مانند تبدیل اسناد دیگر به PDF، ادغام دو PDF در یک فایل PDF و بارگیری PDF از صفحات باز را انجام دهد.
این آخرین ویژگی است که جعبه ابزار PDF را برای نیت بد باز میگذارد. گوگل از توسعه دهندگان برنامههای افزودنی میخواهد که فقط از حداقل مجوزهای لازم استفاده کنند. برای دانلود PDF از صفحاتی که در حال حاضر فعال نیستند، PDF Toolbox باید بتواند به هر صفحه وب که در حال حاضر باز است، دسترسی داشته باشد. بدون این ویژگی، نمیتواند به طور شبه قانونی به مرورگر شما به همان میزان دسترسی داشته باشد.
در حالی که جعبه ابزار PDF ظاهرا میتواند تمام کارهای PDF را که ادعا میکند، انجام دهد، همزمان یک فایل جاوا اسکریپت را از یک وب سایت خارجی دانلود و اجرا میکند که میتواند حاوی کد برای انجام تقریبا هر کاری باشد، از جمله ضبط هر چیزی که در مرورگر خود تایپ میکنید. وب سایتهای جعلی و کنترل آنچه را در وب میبینید، در دست بگیرید. PDF Toolbox با شبیه سازی کد مخرب به یک تماس API قانونی، مبهم کردن آن به طوری که دنبال کردن آن دشوار است و به تعویق انداختن تماس مخرب برای ۲۴ ساعت، توانسته است از آخرین بروزرسانی از فروشگاه وب کروم توسط گوگل حذف نشود. علیرغم اینکه پالانت گزارشی در مورد کد مخرب خود ارائه کرده است، هنوز در دسترس است.
پالانت هیچ راهی برای تایید عملکرد کد مخرب در جعبه ابزار PDF در اولین باری که آن را کشف کرد، نداشت؛ با این حال، او ۱۷ افزونه مرورگر دیگر را فاش کرد که از همان ترفند برای دانلود و اجرای یک فایل جاوا اسکریپت استفاده میکنند. این موارد عبارتند از Autoskip for Youtube، بلوک تبلیغات کریستال، Brisk VPN، Clipboard Helper، Maxi Refresher، ترجمه سریع، نمای Easyview Reader، Zoom Plus، Base Image Downloader، نشانگرهای سرگرم کننده کلیکیش، حداکثر تغییر رنگ برای Youtube، حالت Readl Reader، مرکز دانلود تصویر، Font Customizer، Easy Undo Closed Tabs، OneCleaner و دکمه Repeat، اگرچه احتمالا افزونههای آلوده دیگری نیز وجود دارد. اینها تنها مواردی بودند که پالانت در نمونهای از حدود ۱۰۰۰ اکستنشن یافت.
علاوه بر یافتن افزونههای آسیبدیده بیشتر، پالانت توانست کارهایی را که کد مخرب انجام میداد (یا حداقل در گذشته انجام داده بود) تایید کند. افزونهها جستجوهای گوگل کاربران را به موتورهای جستجوی شخص ثالث هدایت میکردند، احتمالا در ازای هزینههای کوچک وابسته. با آلوده کردن میلیونها کاربر، توسعهدهندگان میتوانند مقدار زیادی سود به دست آورند.
این برنامههای افزودنی میتوانند دادههای مرورگر را جمعآوری کنند، تبلیغات اضافی را به هر صفحه وب که کسی بازدید میکند اضافه کرده و یا حتی ثبت اطلاعات اعتبار بانکی آنلاین و شماره کارت اعتباری را انجام دهند. جاوا اسکریپت مخربی که بدون علامت در مرورگر وب شما اجرا میشود، میتواند فوقالعاده قدرتمند باشد.
اگر یکی از افزونههای آسیبدیده را روی رایانهتان نصب کردهاید، اکنون باید آن را حذف کنید؛ همچنین ایده خوبی است که یک ممیزی سریع از همه برنامههای افزودنی دیگری که نصب کردهاید، انجام دهید تا مطمئن شوید که هنوز از آنها استفاده میکنید و همه آنها مشروع به نظر میرسند. اگر نه، باید آنها را نیز حذف کنید، در غیر این صورت، این را به عنوان یادآوری در نظر بگیرید تا همیشه مراقب بدافزارهای احتمالی باشید.
منبع: popsci