Ücretsiz VPN hizmeti gibi görünen iki popüler tarayıcı uzantısının kullanıcıların pano verilerini çalarken yakalandı. Chrome ve Firefox eklentileri, proxy özelliklerinin yasal görünmeye devam etmesini sağlarken kullanıcıların kopyaladığı her şeyi gizlice topladı.
Uzantılar VPN Go markası altında işletiliyordu. Chrome sürümünde yaklaşık 146 aktif kurulum bulunurken, Firefox sürümünde keşif sırasında 3.499 kullanıcı bulunuyordu. Geliştiricilerin öncelikli olduğu yeni bir siber güvenlik platformu olan Socket,her iki tarayıcı satıcısına da bilgi verildikötü amaçlı eklentileri ve bunların resmi mağazalardan kaldırılmasını talep etti.
Geliştirici, pano hırsızlığını sıradan güncellemeler gibi görünen bir yöntemle başlattı. Chrome uzantısı, geçen yıl Aralık ayında piyasaya sürüldüğünde başlangıçta temiz bir proxy aracı olarak çalıştı. Kötü amaçlı kod, bu yılın mayıs ayının sonunda yayınlanan daha sonraki bir sürümle geldi.
Birçok kişi kişisel verileri ve şifreleri panolarına kopyalamayı alışkanlık haline getirdiğinden, pano hırsızları özellikle tehlikelidir. Saldırganlar, işletim sisteminin kendisinden değil, tarayıcı izinlerinden yararlanarak, kullanıcıya çok az görünürlük kazandırarak veya hiç görmeden bu sırları ele geçirebilir.
Kötü amaçlı uzantıların işleyişi
Chrome uzantısının kötü amaçlı kodu, kullanıcının ziyaret ettiği her web sitesinde etkinleştirildi. Yeni içerik için her yarım saniyede bir panoyu kontrol ediyordu. Komut dosyası, kopyalanan metni bölümlere ayırdı ve benzersiz bir oturum işaretçisi oluşturdu. Daha sonra her şeyi, onu ileten bir arka plan işleyicisine iletti.
Uzantı, aynı içeriğin birden çok kez yüklenmesini önleyen yinelenen girişleri göz ardı etti. Geliştiriciler, tespit edilmekten kaçınmak ve şüpheli ağ trafiğini azaltmak için bunu uyguladı. Arka plan hizmet çalışanı daha sonra çalınan pano verilerini saldırganların kontrol ettiği sunuculara iletti.
Firefox sürümü de süreci yansıtır ancak bunu yapmak için farklı bir yol kullanır. Hırsızlığı arka plandaki komut dosyasında tamamlar ve her 1,5 saniyede bir anket yapar. Bu muhtemelen mimarideki farklılıklarından kaynaklanmaktadır.
Her iki eklenti de aynı arka uç sistemine bağlanır ve pano içeriğini almak ve göndermek için neredeyse aynı yolları kullanır. Araştırmacılar, Chrome sürümünün dosyalarında uzantı kimliği de dahil olmak üzere Firefox'a özgü yapılandırma ayrıntılarını buldu. Bu, her iki uzantının da ortak bir kod tabanını veya oluşturma sürecini paylaştığını, dolayısıyla muhtemelen aynı oluşturucuya sahip olduklarını gösterir.
VPN altyapısının kötü niyetli kullanımı tüm dünyada dikkat çekti.Yetkililer yakın zamanda 'İlk VPN Hizmetini' kapattıSiber suç bağlantılarını hedef alan uluslararası bir operasyonda.
Pano verileri neden bu kadar değerli?
Pano verilerinin çalınması, hassas ayrıntılar içerdiğinden önemli güvenlik riskleri oluşturur. Çoğu kişi genellikle şifre yöneticilerini, MFA kodlarını (bir kimlik doğrulama uygulamasından), bulut hizmetleri için API anahtarlarını, üçüncü taraf entegrasyonları için OAuth belirteçlerini, bulut kimlik bilgilerini, kripto para birimi cüzdan adreslerini ve dijital cüzdanları için kurtarma ifadelerini içerebilecek bilgileri panolarında saklar.
Kötü amaçlı bir tarayıcı uzantısı panonuzdaki verileri ele geçirdiğinde, bir saldırgan bunu ciddi güvenlik hasarına neden olmak için kullanabilir. Hesaplarınıza erişebilir, sizden çalabilirler veya tüm sisteminizi tehlikeye atabilirler.
VPN Go uzantıları, yakalanan tüm pano verilerini saldırganın sunucularına geri gönderiyordu. Bu, saldırgana kurbanları hakkında çok geçerli ve sürekli bir hassas bilgi akışı sağlar.
Meşru proxy işlevi, uzantıların şüpheleri önlemesine yardımcı oldu. Kullanıcılar VPN'in doğru çalıştığını gördüler ve yazılımın güvenli olduğunu varsaydılar. Proxy işlemi için gereken kapsamlı izinler, pano izleme için uygun bir koruma sağladı.
Soket araştırmacıları, uzantıların mağaza proxy kimlik bilgilerini, proxy konumlarını alabileceğini ve tarayıcı trafiğini uzak sunucular üzerinden yönlendirebileceğini söyledi. Bu meşru işlevsellik, güven oluşturulmasına yardımcı oldu ve kapsamlı tarayıcı izinleri için ikna edici bir neden sağladı.
Kendini korumak, ne yapacağını bilmek
Socket, bu uzantıları kullanan herkese, bunları gecikmeden kaldırmalarını tavsiye eder. Firma ayrıca her iki uzantıyı da incelenmek ve kaldırılmak üzere Google ve Mozilla'ya bildirdi.
Bu uzantıları kullanan herkes, bu süre zarfında kopyalanan tüm hassas bilgilerin potansiyel olarak tehlikeye atılmış olduğunu düşünmelidir. Buna şifreler, API anahtarları, bulut kimlik bilgileri, OAuth belirteçleri, kripto para birimi kurtarma materyalleri ve uzantılar yüklenirken kopyalanan diğer hassas bilgiler dahildir.
Kullanıcılar, uzantılar etkinken eriştikleri tüm hesapların şifrelerini değiştirmelidir. Ayrıca API anahtarlarını döndürmeli ve bu ayrıntıları kopyalamışlarsa yeni kripto para birimi cüzdan adresleri oluşturmalıdırlar. Bir diğer önemli uygulama ise hesapları şüpheli faaliyetlere karşı izlemektir.
Olay, yalnızca güvenilir tarayıcı uzantılarını yüklemenin önemini vurguluyor. Kullanıcılar kurulumdan önce herhangi bir uzantının talep ettiği izinleri dikkatlice incelemelidir. Pano erişimi veya tüm web sitelerindeki verileri okuma yeteneği isteyen uzantılar, daha fazla incelemeyi hak eder.
