حذف پانصد افزونه‌ی مخرب کروم از فروشگاه وب گوگل

شرکت #‫گوگل پس از اطلاع از تبلیغات مخرب و تزریق داده‌های مرور کاربر به سرورهای تحت کنترل مهاجمان توسط پانصد افزونه در کروم، آن‌ها را از فروشگاه وب خود حذف کرد.
این افزونه‌ها بخشی از یک پویش تبلیغاتی و کلاهبرداری بودند که حداقل از ماه ژانویه‌ی سال 2019 شروع به کار کرده‌اند و از آن زمان تا‌کنون توسط بیش از 7/1 میلیون کاربر نصب شده‌‌اند.
کد مخرب تزریق‌شده توسط افزونه‌ها، تحت شرایط خاص فعال شده و کاربران را به سایت‌های خاص هدایت می‌کند. در برخی موارد، مقصد می‌تواند یک لینک وابسته به سایت‌های قانونی مانند Macys ، Dell یا BestBuy باشد، اما در 60 تا 70 درصد موارد، لینک مقصد چیزی مخرب مانند سایت بارگیری بدافزار یا صفحه‌ی فیشینگ است.
محققان با استفاده از ابزار ارزیابی امنیت افزونه‌ی کروم موسوم به "CRXcavator"، در حال بررسی این افزونه‌های کروم بودند که دریافتند مشتری‌های این مرورگر به یک سرور کنترل و فرمان (C2) کنترل‌شده توسط مهاجمان متصل می‌شوند و این امکان را برای مهاجمان فراهم می‌آورد تا داده‌های مرور را بدون اطلاع کاربران، دریافت کنند.
این افزونه‌ها که تحت پوشش تبلیغات و خدمات تبلیغاتی عمل می‌کردند، دارای کد منبع تقریباً یکسان اما نام توابع متفاوت بودند و از این طریق، مانع از تشخیص مکانیسم‌های شناسایی فروشگاه وب کروم می‌شدند.
افزونه‌های مخرب موجود در کروم علاوه بر درخواست مجوزهای گسترده که امکان دسترسی آن‌ها به کلیپ‌بورد و کلیه کوکی‌هایی را که به‌صورت محلی در مرورگر ذخیره می‌شوند را می‌دهد، به‌صورت دوره‌ای نیز به یک دامنه متصل می‌شوند. این دامنه دارای همان نام افزونه است و به‌ آن‌ها دستور حذف از مرورگر را می‌دهد.
پس از برقراری تماس اولیه با سایت، افزونه‌ها با یک دامنه‌ی C2 که به صورت سخت‌افزاری کدگذاری‌شده است، ارتباط برقرار می‌کنند. سپس در انتظار دستورات بعدی، مکان‌هایی برای بارگذاری داده‌های کاربر و دریافت لیست‌های به‌روزشده از تبلیغات مخرب و دامنه‌های هدایت‌شونده که جلسات مرور کاربران را به ترکیبی از سایت‌های قانونی و فیشینگ هدایت می‌کنند، می‌مانند.
گوگل برای رفع این موضوع، از 15 اکتبر سال 2019، محدودیت‌هایی را برای افزونه‌ها اعمال کرد. از آن زمان تاکنون، افزونه‌ها به درخواست دسترسی به «حداقل مقدار داده» نیاز دارند و هر افزونه‌ای که خط مشی رازداری را نداشته باشد و داده‌های مرور کاربران را جمع‌آوری ‌کند، ممنوع می‌شود.
به کاربران توصیه می‌شود افزونه‌هایی را که به‌ندرت از آن‌ها استفاده می‌کنند، حذف کرده یا به سایر گزینه‌های نرم‌افزاری که نیازی به دسترسی تهاجمی به فعالیت مرورگر ندارند، روی آورند.