اكتشفت إضافات غوغل كروم التي تحتوي على 500000 عملية تنزيل أنها ضارة
تزيل غوغل أربعة ملحقات تستخدم أجهزة الكمبيوتر المصابة في مخطط احتيال النقرات.
كشف الباحثون عن أربعة ملحقات ضارة مع أكثر من 500000 عملية تنزيل مجمعة من سوق غوغل كروم الإلكتروني، وهو اكتشاف يسلط الضوء على نقطة ضعف رئيسية في ما يعتبر على نطاق واسع متصفح الإنترنت الأكثر أمانا. ومنذ ذلك الحين، قامت غوغل بإزالة الإضافات.
تعثر الباحثون من شركة الأمن إيسبرغ على العثور بعد الكشف عن ارتفاع مشبوهة في حركة مرور الشبكة الصادرة القادمة من محطة عمل العملاء. وسرعان ما اكتشفوا أنه تم إنشاؤه بواسطة إضافة كروم تسمى رأس طلب هتب، حيث أنه استخدم الجهاز المصاب لتصفح مواقع الويب ذات الصلة بالإعلانات بشكل خفي. اكتشف الباحثون لاحقا ثلاثة ملحقات كروم أخرى - نيغوغل، ستيكيس، و ليت بوكماركس - التي فعلت الكثير من الشيء نفسه. تشتبه إيسبرغ في أن الإضافات كانت جزءا من عملية احتيال على عمليات النقر التي أدت إلى تحقيق أرباح من مكافآت النقرة. لكن الباحثين حذروا من أن الإضافات الخبيثة يمكن أن تستخدم بسهولة للتجسس على الأشخاص أو المنظمات التي تثبتهم.
"في هذه الحالة، سمحت الثقة المتأصلة لإضافات غوغل من جهات خارجية، والمخاطر المقبولة للتحكم في المستخدم على هذه الإضافات، بحملة غش موسعة للنجاح"، وفقا لما كتبه باحثون في إيسبرغ في تقرير نشر يوم الجمعة . "في أيدي ممثل التهديد متطورة، نفس الأداة والتقنية يمكن أن تمكن رأس جسر في الشبكات المستهدفة."
أزلت غوغل الإضافات من سوق كروم الإلكتروني بعد أن أعلنت إيسبرغ عن نتائجها بشكل خاص. كما نبه المركز الدولي للأمن السيبراني في هولندا والولايات المتحدة الأمريكية سيرت. في تقريرها العام، ذهب إيسبرغ لشرح كيفية عمل ملحقات الخبيثة:
حسب التصميم، يقوم محرك جافا سكريبت في كروم بتقييم (تنفيذ) شفرة جافا سكريبت المضمنة في جسون. بسبب المخاوف الأمنية، يمنع كروم إمكانية استرداد جسون من مصدر خارجي من خلال الإضافات، والتي يجب أن تطلب صراحة استخدامه من خلال سياسة أمان المحتوى (سب). عندما التمديد لا تمكين "غير آمنة-تقييم" (الشكل 3) إذن لتنفيذ مثل هذه الإجراءات، فإنه قد استرداد ومعالجة جسون من ملقم يتم التحكم خارجيا. يؤدي هذا إلى إنشاء سيناريو يمكن فيه لموفر الإضافة حقن شفرة جافا سكريبت تعسفية وتنفيذها في أي وقت يتلقى خادم التحديث طلبا.
تقوم إضافة عنوان هتب ريكست هتب بتنزيل جسون عبر وظيفة تسمى 'update_presets ()' التي تقوم بتنزيل نقط جسون من 'تشانج-ريكست [.] إنفو'
هذه ليست المرة الأولى التي يتم فيها استخدام إضافات كروم. في أواخر تموز (يوليو) وأوائل شهر آب (أغسطس)، قام مهاجمون مجهولون بتخريب حسابات اثنين من مطوري إضافات كروم على الأقل. ثم استخدم المجرمون وصولهم غير المصرح به إلى تثبيت تحديثات الإضافة تلقائيا التي تم إدخالها في المواقع التي زارها المستخدمون . وفي وقت لاحق من شهر أغسطس، كشف ريناتو مارينيو، وهو كبير موظفي الأبحاث في شركة مورفوس لابس ومتطوع في معهد سانس، عن عملية احتيال متعمقة في البنوك استخدمت امتدادا ضارا في سوق كروم الإلكتروني من غوغل لسرقة كلمات مرور الأهداف .
يعتبر كروم على نطاق واسع واحدا من أكثر متصفحات الإنترنت أمانا، ويرجع ذلك إلى حد كبير إلى توافر السريع بقع الأمان وفعالية رمل الأمان الذي يمنع المحتوى غير الموثوق به من التفاعل مع الأجزاء الرئيسية من نظام التشغيل الأساسي. وتحد من أن الأمن هو التهديد الذي تشكله الإضافات الضارة. يجب على الناس تجنب تثبيتها ما لم توفر ملحقات فائدة حقيقية، وبعد ذلك فقط بعد بحث دقيق في المطور أو تحليل رمز الإرشاد والسلوك.
