کمیته رکن چهارم – پژوهشگران امنیت سایبری اعلام کردهاند یک افزونه پرکاربرد گوگل کروم برای مسدود کردن تبلیغات یوتیوب، علاوه بر عملکرد اصلی خود، دارای قابلیتی پنهان است که میتواند با یک تغییر سمت سرور، امکان اجرای کدهای جاوااسکریپت دلخواه را روی وبسایتهای بازدیدشده توسط کاربران فراهم کند.
به گزارش کمیته رکن چهارم، شرکت Island در بررسی افزونه Adblock for YouTube با شناسه cmedhionkhpnakcndndgjdbohmhepckk که بیش از ۱۰ میلیون بار از فروشگاه Chrome Web Store نصب شده و نشان Featured را نیز دریافت کرده است، به سازوکاری دست یافته که امکان اجرای کدهای جاوااسکریپت از راه دور را بدون نیاز به انتشار نسخه جدید افزونه یا تأیید مجدد گوگل فراهم میکند.
به گفته پژوهشگران Island، تمامی اجزای لازم برای اجرای کد دلخواه روی هر وبسایتی در این افزونه وجود دارد و تنها یک تغییر در پیکربندی سمت سرور برای فعال شدن این قابلیت کافی است. در صورت سوءاستفاده از این قابلیت، مهاجمان میتوانند محتوای صفحات وب را مشاهده کرده، اطلاعات کاربران را سرقت کنند یا اقداماتی را بهجای کاربر در حسابهای شخصی، سامانههای سازمانی و پنلهای مدیریتی انجام دهند.
با این حال، پژوهشگران تأکید کردهاند که تاکنون هیچ شواهدی مبنی بر استفاده مخرب از این قابلیت مشاهده نشده است، اما وجود چنین سازوکاری در افزونهای با میلیونها کاربر، نگرانیهای قابل توجهی درباره امنیت و حریم خصوصی ایجاد کرده است.
بررسیها نشان میدهد افزونه Adblock for YouTube نخستین بار در سال ۲۰۱۴ منتشر شده و پس از تغییر مالکیت در سال ۲۰۱۸، تغییرات گستردهای در ساختار آن اعمال شده است. نسخههای اولیه این افزونه از زیرساختی موسوم به Unistream SDK برای تزریق تبلیغات استفاده میکردند که در خرداد ۱۴۰۳ حذف شد. با این حال، از بهمن ۱۴۰۳ مسیرهایی برای بارگذاری اسکریپت از راه دور در کد افزونه باقی مانده است.
یکی دیگر از یافتههای مهم این تحقیق آن است که کد افزونه روی تمامی وبسایتهای بازدیدشده اجرا میشود. هرچند توسعهدهنده تلاش کرده اجرای برخی قابلیتها را به صفحات مرتبط با یوتیوب محدود کند، اما این کنترل تنها با بررسی وجود عبارت youtube.com در نشانی صفحه انجام میشود و نام دامنه واقعی اعتبارسنجی نمیشود. به همین دلیل، مهاجم میتواند با قرار دادن این عبارت در بخشهایی از نشانی اینترنتی، این محدودیت را دور بزند.
پژوهشگران همچنین به مجموعهای از عوامل نگرانکننده دیگر اشاره کردهاند؛ از جمله دسترسی افزونه به تمام وبسایتهای بازدیدشده، قابلیت تزریق اسکریپت از راه دور، سابقه استفاده از زیرساختهای تزریق تبلیغات، تغییر مالکیت و بازنویسی گسترده کد، و ارتباط با افزونههایی که پیشتر به دلیل توزیع بدافزار از فروشگاه Chrome Web Store حذف شدهاند.
شرکت Island این یافتهها را به توسعهدهنده افزونه گزارش داده است. همچنین رسانه The Hacker News برای دریافت توضیحات با توسعهدهنده تماس گرفته، اما تا زمان انتشار گزارش پاسخی دریافت نشده است.
همزمان، پژوهشگران Unit 42 از شرکت Palo Alto Networks نیز از شناسایی ۱۸ افزونه جعلی مرورگر خبر دادهاند که با سوءاستفاده از نام برندهای شناختهشده، کاربران را به نصب خود ترغیب میکنند. این افزونهها پس از نصب، کاربران را به وبسایتهایی با دامنه .shop هدایت کرده و با نمایش پیامهای جعلی، آنها را به نصب مرورگرهای دیگر با هدف کسب درآمد از طریق بازاریابی وابسته ترغیب میکنند.
این یافتهها بار دیگر اهمیت بررسی دقیق مجوزهای افزونههای مرورگر و نصب آنها تنها از منابع معتبر و توسعهدهندگان قابل اعتماد را یادآور میشود.
منبع: The Hacker News
