33 milyon kişinin bilgileri Chrome eklentileriyle çalındı

Yazışmalardan bankacılığa, alışverişten eğlenceye hemen her şeyimizi web tarayıcılar üzerinden çözdüğümüz şu günlerde tarayıcılar saldırganlar için de önemli bir hedef. Awake Güvenlikten bir araştırmacı ekibi birkaç gün önce yayımladıkları bir raporla Chrome Web Mağazasında toplam indirilmeleri 33 milyona yaklaşan ve aynı kötü niyetli yazılım ailesinin mensubu 111 eklenti keşfettiğini duyurdu.

Awake Güvenlik ekibinin keşfettiği bu kötü niyetli eklentiler arama motoru yönetimi, tarayıcı güvenliği, PDF görüntüleme, doküman dönüştürme vb. işlevlerle kendilerini kullanıcılara pazarlıyor. Kullanıcının eklentiyi yüklemesinin ardından eklentiler kullanıcının bilgisi dışında ekran görüntüsü alabiliyor; gezinme geçmişini, kopyalama panosunu ve çerezlerde saklanan giriş bilgilerini okuyabiliyor, klavye girdilerini kaydedebiliyor. Buna ek olarak tarayıcıdan bağımsız, tek başına çalışabilen kullanıcının işletim sistemine uygun bir kötü niyetli yazılım eklentinin komuta ve kontrol merkezi sunucularından indiriliyor. Komuta ve kontrol merkezi olarak ise toplamda 26 bin kadar alan adını yöneten İsrailli bir alan adı kayıt firması olan GalComm üzerinden kaydedilmiş 15 bini aşkın alan adı kullanılıyor. Söz konusu alan adları çoğu güvenlik yazılımı tarafından kötü niyetli olarak işaretlenmekten ve engellenmekten kaçınmayı bugüne dek başarmış. Awake Güvenlik ekibinin raporuna göre finans hizmetleri, petrol, medya, eğlence, sağlık, teknoloji, eğitim gibi alanlarda inceledikleri yüzü aşkın ağın hemen hepsinde bu eklentiler tespit edilmiş.

Google, söz konusu eklentilerle ilgili bilgilerin kendisine iletilmesinin ardından perşembe günü eklentileri Chrome Web Mağazasından kaldırdı. GalComm’un Sahibi Moshe Fogel ise Reuters’e yaptığı açıklamada GalComm’un bu kötü niyetli saldırılarla alakası olmadığını belirterek listenen alan adlarının çoğunun aktif olmadığını, aktif olanları ise araştırmaya devam ettiklerini söyledi.

Bu, kötü niyetli eklentiler aracılığıyla tarayıcıların hedef alındığı ilk saldırı değil. 2019 temmuzunda 4 milyonu aşkın kullanıcının gezinme geçmişlerinin çeşitli eklentiler aracılığıyla kaydedilip ücretli bir analiz servisinde yayımlandığı ortaya çıkmıştı. Şubat 2020’de ise 500’e yakın Chrome eklentisi ile 1.7 milyon kullanıcının verilerinin toplandığı tespit edilmişti. Öte yandan 33 milyona yaklaşan eklenti indirme sayısı ile bu son saldırının bugüne kadarki saldırıların tümünden daha büyük.

Alan adı kayıt firmasının bilerek bu saldırının parçası olmadığına dair ifadesini doğru kabul etsek bile devasa bir beceriksizlik zinciri var ortada. Bir alan adı kayıt firması kendisine kayıtlı tüm alan adlarının yüzde 60’ına yakınında yürütülen kötü niyetli faaliyetin farkına varamıyor. Chrome Web Mağazasında kötü amaçlı eklentiler fink atıyor. Onlarca güvenlik yazılımı bu kötü niyetli alan adlarını ve eklentileri tespit edemiyor.  

Çok değil, 10 yıl kadar önce her iş için ayrı bir yazılım kullanılması yaygın eğilimdi. O dönemde saldırganlar açısından tarayıcılar işletim sistemlerine kıyasla daha önemsiz bir hedefti. Gelişen web teknolojileri sayesinde tarayıcıların hemen her iş için kullanılır hale gelmesi, işletim sistemlerine yönelik saldırıların eskisine kıyasla zorlaşması, tarayıcı pazarının önemli bir kısmını kapsayan tekel konumunda bir tarayıcının varlığı ve eklenti marketlerinin güvenlik zafiyetleri gibi sebepler tarayıcıları düne kıyasla çok daha önemli bir hedef haline getirdi. Chrome Web Mağazasının otomatik ve insanlı denetimlerinin fark edemediği, güvenlik yazılımlarının kötü niyetli olarak tanımlayamadığı bu tipteki eklentiler için kullanıcıların alabileceği tek tedbir ise emin olmadıkları, bilmedikleri eklentileri yüklememek.