یک محقق امنیتی شبکهای از افزونههای پرخطر کروم را کشف کرده است که بیش از ۴ میلیون بار نصب شدهاند. بسیاری از این افزونهها که به طور غیرمستقیم ادعا میکنند که پلاگینهای مشکوک را اسکن میکنند، خود رفتار مشکوکی از خود نشان میدهند.
جان تاکر، بنیانگذار شرکت امنیتی مرورگر Secure Annex، نزدیک به سه دوجین افزونه از فروشگاه وب کروم را کشف کرد که رفتار مشکوکی از خود نشان میدهند. این افزونهها که خود را به عنوان دستیار جستجو، مسدودکننده تبلیغات، ابزارهای امنیتی یا اسکنرهای افزونه معرفی میکنند، همگی به یک دامنه بدون ثبت و ناشناس مرتبط هستند.
تاکر این افزونهها را هنگام کمک به یک مشتری که برخی از آنها را برای نظارت امنیتی نصب کرده بود، کشف کرد. اولین علامت هشدار این بود که دو تا از ۱۳۲ افزونهای که او بررسی کرد، فهرست نشده بودند. این افزونهها در جستجوهای وب یا فروشگاه کروم ظاهر نمیشوند و کاربران فقط میتوانند آنها را از طریق یک URL مستقیم دانلود کنند. اگرچه افزونههای فهرستنشده گاهی توسط کسبوکارها برای ابزارهای داخلی استفاده میشوند، اما همچنین توسط بازیگران مخرب برای پنهان کردن فعالیتهای خود و سختتر کردن شناسایی توسط گوگل مورد سوءاستفاده قرار میگیرند.
هنگامی که تاکر به تحقیق خود ادامه داد، ۳۳ افزونه دیگر با رفتار مشکوک مشابه را کشف کرد. بسیاری از این افزونهها به همان سرورها متصل میشدند، از الگوهای کدی یکسان استفاده میکردند و همان مجوزهای بیش از حد را درخواست میکردند. این مجوزها شامل دسترسی به دادههای حساس مانند تبها، کوکیها، ذخیرهسازی و قابلیتهای اسکریپتنویسی مرورگر بودند که میتوانستند برای فعالیتهای مخرب مورد سوءاستفاده قرار گیرند.
تاکر در وبلاگ خود ابراز نگرانی کرد و اشاره کرد که میزان دسترسی که این افزونهها درخواست میکنند باید برای هر سازمانی به عنوان یک هشدار در نظر گرفته شود. او هشدار داد: «این سطح دسترسی خطرات غیرضروری ایجاد میکند.» تنها مجوزی که همه ۳۵ افزونه درخواست کردهاند، مدیریت است که به آنها امکان کنترل مرورگر را میدهد و ممکن است از این طریق به فعالیتهای مخرب بپردازند.
علاوه بر مجوزهای نگرانکننده، تاکر متوجه شد که کد افزونهها به شدت مبهم شده است، به طوری که تحلیل و درک رفتار آنها را برای دیگران دشوار میکند. این نوع کدنویسی معمولاً توسط توسعهدهندگانی که قصد مخرب دارند برای پنهان کردن فعالیتهایشان استفاده میشود.
در مجموع، این ۳۵ افزونه بیش از ۴ میلیون بار نصب شدهاند. با وجود اینکه این افزونهها فهرست نشدهاند، تاکر حدس میزند که ۱۰ مورد از آنها برچسب «ویژه» گوگل را دریافت کردهاند، برچسبی که معمولاً به توسعهدهندگانی که گوگل به آنها اعتماد دارد اختصاص مییابد. با این حال، او توضیح نداد که این ممکن است چگونه بر توزیع آنها تأثیر گذاشته باشد.
اگرچه تاکر هیچ مدرک مستقیمی مبنی بر اینکه این افزونهها دادهها را بیرون میکشند پیدا نکرد، یکی از افزونهها به نام «Fire Shield Extension Protection» نگرانیهای بیشتری ایجاد کرد. اگرچه این افزونه ادعا میکند که پلاگینهای مشکوک را اسکن میکند، تاکر متوجه شد که شامل یک فایل جاوا اسکریپت است که قادر به بارگذاری دادهها و دانلود دستورالعملها از دامنههای مشکوک است، از جمله یک دامنه به نام unknow.com. این دامنه که هیچ حضور وبی نداشت، به تمام ۳۵ افزونه در سرویسهای پسزمینه آنها اشاره شده است، حتی اگر هیچ کاربرد واضحی نداشته باشد. تاکر از اینکه این همه افزونه به یک دامنه اشاره کردهاند، تعجب کرد.
Secure Annex فهرست کاملی از شناسههای افزونه و permhashها را در وبلاگ خود و در یک دیتاشیت عمومی منتشر کرده است. تاکر به شدت توصیه میکند که این افزونهها را حذف کنید، زیرا خطرات امنیتی آنها بسیار بیشتر از هر گونه فایده احتمالی است: