Neredeyse 1 milyon cihazda yüklü olan tarayıcı eklentileri, temel güvenlik korumalarını aşarak cihazları web sitelerinden veri kazıyan botlara dönüştürüyor. Uzmanlar, ücretli bir hizmet adına çalışan bu eklentilerin, kullanıcıların haberi olmadan hassas bilgileri toplayabileceği konusunda uyarıyor.
Chrome, Firefox ve Edge tarayıcıları için sunulan 245 farklı eklentinin toplamda 909.000'e yakın indirmeye ulaştığı tespit edildi. Bu eklentiler arasında yer imi yönetimi, pano araçları, ses yükselticiler ve rastgele sayı üreteçleri gibi çok çeşitli amaçlara hizmet edenler bulunuyor. Ancak hepsinin ortak noktası, geliştiricilerin eklentilerini paraya çevirmelerini sağlayan açık kaynaklı bir JavaScript kütüphanesini içermeleri.
Tarayıcı Korumalarında Kasıtlı Zafiyet Yaratma
Bir güvenlik araştırmacısının yaptığı incelemelere göre, bu eklentiler ödeme yapan müşteriler (aralarında reklamverenler de bulunuyor) adına web sitelerinden veri çekmek için kullanılıyor. Araştırmacı, söz konusu kütüphane ile web'den veri toplama hizmeti sunan bir firma arasındaki yakın bağları ortaya çıkardı. Bu firma, hizmetinin "tüm bot algılamalarını atlattığını ve dakikalar içinde 100 bine kadar isteği paralel olarak gerçekleştirebildiğini" iddia ediyor. Ödeme yapan müşteriler, belirli web sayfalarına erişmek istedikleri tarayıcıların konumlarını bildiriyor ve firma, eklenti kullanıcılarından oluşan mevcut tabanını bu istekleri yerine getirmek için kullanıyor.
Araştırmacı, ilgili kütüphanenin kodunu analiz ettikten sonra, "Bu durum, kütüphaneyi incelerken gördüğümüz veri kazıma talimatlarına çok benziyor" dedi ve ekledi: "Veri toplama isteklerinin, bu kütüphaneyi çalıştıran tüm aktif eklentilere dağıtıldığını düşünmek için iyi nedenlerimiz var."
Kütüphanenin kurucusu ise, amacın "kullanıcıların bant genişliğini paylaşmak (ortaklık bağlantıları, ilgisiz reklamlar veya kişisel veri toplama olmadan)" olduğunu belirtiyor. Kurucu, şirketlerin trafiğe para ödemesinin "kamuya açık verilere web sitelerinden güvenilir ve uygun maliyetli bir şekilde erişmek" olduğunu ifade etti. Eklenti geliştiricilerine gelirin yüzde 55'inin verildiğini, geri kalanının ise kütüphane sahibinde kaldığını ekledi.
Ancak bu açıklamalara rağmen, araştırmacı, bu kütüphaneyi içeren eklentilerin kullanıcılar için ciddi riskler oluşturduğunu belirtiyor. Bunun bir nedeni, kütüphanenin eklentilerin bir bulut sunucusuyla bağlantı kuran gizli bir web soketi etkinleştirmesine neden olması. Bu soket, eklenti kullanıcılarının konumu, kullanılabilir bant genişliği, aktiflik durumu gibi verileri topluyor. Gizlilik ihlallerinin yanı sıra, web soketi kullanıcının o an görüntülediği sayfaya gizli bir iframe de enjekte ediyor. Bu iframe, bulut sunucusu tarafından belirlenen bir web sitesi listesine bağlanıyor. Sıradan son kullanıcıların bu görünmez iframe içinde hangi sitelerin açıldığını belirlemesinin hiçbir yolu bulunmuyor.
Araştırmacı, "Tüm web taramalarını zayıflatan bu durum, kullanıcıları normal koşullarda engellenecek olan siteler arası komut çalıştırma (cross-site scripting) gibi saldırılara açık hale getirebilir" diye yazdı. "Kullanıcılarınız sadece farkında olmadan bot haline gelmekle kalmıyor, aynı zamanda gerçek web taramaları da daha savunmasız hale geliyor."
Kütüphane, açtığı sitelerin son kullanıcılar tarafından bilinmemesi nedeniyle de sorunlu. Bu, kullanıcıların erişilen her sitenin güvenliğini ve güvenilirliğini doğrulama konusunda tamamen bu kütüphaneye güvenmeleri gerektiği anlamına geliyor. Ve tabii ki, bu güvenlik ve güvenilirlik tek bir güvenlik açığıyla değişebilir. Ayrıca, bu durum, kullanıcıların çalıştırmasına izin verilen kod türlerini ve ziyaret ettikleri siteleri sıkı bir şekilde kısıtlayan kurumsal ağlar için de risk oluşturuyor.
Kütüphane geliştiricileriyle iletişime geçme girişimleri başarısız oldu.
Bu keşif, 2019'da yapılan ve 4 milyon tarayıcıda yüklü eklentilerin kullanıcıların web'deki her hareketini topladığını ve müşterilerle paylaştığını ortaya koyan bir analizi anımsatıyor. O dönemde, gözetim videoları, vergi beyannameleri, faturalar, iş belgeleri, sunum slaytları, yeni satın alınan otomobillerin araç kimlik numaraları, alıcıların ad ve adresleri, hasta isimleri ve gördükleri doktorlar, seyahat güzergahları, Facebook Messenger ekleri ve hatta özel olarak ayarlanmış Facebook fotoğrafları gibi hassas veriler toplanmıştı. Bu geniş çaplı veri toplama işlemi, birçok şirkete ait tescilli bilgileri de içeriyordu.
Etkilenen eklentilerin son durumu ise şu şekilde:
- 45 bilinen Chrome eklentisinden 12'si artık etkin değil. Bazı eklentiler açıkça kötü amaçlı yazılım nedeniyle kaldırılmış, diğerleri ise kütüphaneyi kaldırmış durumda.
- Kütüphaneyi içeren 129 Edge eklentisinden 8'i artık etkin değil.
- Etkilenen 71 Firefox eklentisinden 2'si artık etkin değil.
Etkin olmayan eklentilerin bazıları açıkça kötü amaçlı yazılım nedeniyle kaldırılırken, diğerleri daha yeni güncellemelerde kütüphaneyi kaldırmış durumda.
