بچه هایی که مسئول هستند توسعه مرورگر وب Chrome برای حفظ یک محیط "سالم" کار کرده است در فروشگاه افزودنیهای مرورگر و از زمان ادغام Manifest V3 جدید Google ، تغییرات امنیتی مختلفی اعمال شده است و به ویژه جنجال های ایجاد شده توسط مسدود کردن API ها که توسط بسیاری از افزودنی ها برای مسدود کردن تبلیغات استفاده می شود.
همه این کارها در نتایج مختلف خلاصه شده است ، از کدام مسدود کردن تعدادی از افزونه های مخرب فاش شد که در فروشگاه Chrome پیدا شده است.
در مرحله اول ، محقق مستقل جامیلا کایا و شرکت Duo Security انواع مختلفی از برنامه های افزودنی Chomre را شناسایی کردند که در ابتدا "قانونی" کار می کنند ، اما در تجزیه و تحلیل عمیق تر از کد این ، عملیاتی که در پس زمینه اجرا می شدند ، شناسایی شدند ، که بسیاری از آنها داده های کاربر را استخراج می کنند.
Cisco Duo Security سال گذشته CRXcavator ، ابزار ارزیابی امنیت برنامه افزودنی خودکار Chrome خود را به صورت رایگان منتشر کرد تا ریسکی را که افزونه های Chrome به سازمان ها نشان می دهد کاهش دهد و به دیگران اجازه دهد تحقیقات ما را برای ایجاد یک اکوسیستم توسعه دهند. از افزونه های Chrome برای همه امن تر است.
پس از گزارش مشکل به Google ، بیش از 430 مورد افزودنی در کاتالوگ یافت شد، تعداد نصب های آن گزارش نشده است.
قابل توجه است که با وجود تعداد چشمگیر امکانات ، هیچ یک از افزونه های مشکل ساز بررسی کاربر ندارند، منجر به س questionsالاتی در مورد نحوه نصب پلاگین ها و چگونگی شناسایی نشدن فعالیت مخرب می شود.
اکنون، تمام افزونه های مشکل ساز از فروشگاه وب Chrome حذف می شوند. به گفته محققان ، فعالیت مخرب مربوط به افزونه های مسدود شده از ژانویه 2019 ادامه دارد ، اما دامنه های جداگانه ای که برای انجام اقدامات مخرب استفاده می شدند ، در سال 2017 ثبت شدند.
جامیلا کایا از CRXcavator برای کشف یک کمپین گسترده در زمینه کپی برداری از برنامه های افزودنی کروم استفاده کرد که کاربران را آلوده کرده و از طریق سوisingاستفاده از داده ها استخراج می کرد ، در حالی که سعی در شناسایی تقلب در Google Chrome داشت. Duo ، Jamila و Google با هم کار کردند تا اطمینان حاصل کنند که این افزونه ها و موارد دیگر مانند آنها بلافاصله پیدا و حذف می شوند.
بیشتر از افزودنیهای مخرب به عنوان ابزاری برای تبلیغ محصولات ارائه شدند و در خدمات تبلیغاتی شرکت کنند (کاربر تبلیغات را می بیند و کسر می کند). همچنین ، تکنیک هدایت مجدد به سایت های تبلیغاتی با باز کردن صفحاتی که قبل از نمایش سایت درخواستی در یک رشته نمایش داده شده بودند ، استفاده شد.
همه پلاگین ها از یک تکنیک برای پنهان کردن فعالیت های مخرب استفاده می کردند و مکانیسم های تأیید پلاگین را در فروشگاه وب Chrome دور بزنید.
کد کلیه افزونه ها در سطح منبع تقریباً یکسان بود ، به استثنای نام توابع که مختص هر پلاگین بود. منطق مخرب از سرورهای مدیریت متمرکز منتقل شده است.
در ابتدا ، پلاگین متصل به دامنه ای که همان نام پلاگین است (به عنوان مثال Mapstrek.com) ، پس از آن به یکی از سرورهای مدیریتی که اسکریپت را برای اقدامات اضافی ارائه کرده بود هدایت شد.
از جمله اقدامات انجام شده از طریق افزونه ها بارگیری اطلاعات محرمانه کاربر را پیدا کنید به یک سرور خارجی ، ارسال به سایتهای مخرب و تأیید نصب برنامه های مخرب (به عنوان مثال ، پیامی در مورد آلودگی رایانه نمایش داده می شود و بدافزار تحت عنوان آنتی ویروس یا بروزرسانی مرورگر ارائه می شود).
دامنه های هدایت شده شامل دامنه ها و سایت های مختلف فیشینگ برای سو explo استفاده از مرورگرهای منسوخ شده هستند که دارای آسیب پذیری اصلاح نشده است (به عنوان مثال ، پس از سو attempts استفاده برای نصب برنامه های مخربی که رمزهای عبور را رهگیری می کنند و انتقال داده های محرمانه را از طریق کلیپ بورد تجزیه و تحلیل می کنند).
اگر می خواهید درباره یادداشت بیشتر بدانید ، می توانید با نشریه اصلی مشورت کنید در لینک زیر.
اولین کسی باشید که نظر