کمیته رکن چهارم – سهشنبهی این هفته شاهد بودیم که شرکت ادوبی بهروزرسانیهای امنیتی را منتشر کرده و آسیبپذیریها موجود در محصولات خود را وصله کرد. اما به نظر میرسد این تمام ماجرا نبوده و این شرکت یک افزونهی گوگل کروم را نیز بر روی سامانههای کابران نصب کرده است.
به گزارش کمیته رکن چهارم،محققان امنیتی در توییتر عنوان کردند که بهروزرسانی ادوبی ریدر یک افزونهی کروم را بر روی سامانههای کابران نصب کرده که حاوی ویژگیها اندازهگیری بوده و اطلاعاتی را از سامانههای کاربران جمعآوری میکند.
این افزونه «ادوبی آکروبات» نام داشته و موقع نصب بهروزرسانیهای ادوبی ریدر، بهطور خودکار به مرورگر کروم اضافه میشود. این افزونه در هنگام اجرای مرورگر نیازی به فعالسازی توسط کاربر ندارد.
چیز غیرعادی که در این افزونه دیده میشود این است که از کاربر چندین مجوز درخواست میکند. این مجوزها عبارتند از: خواندن و تغییر تمامی دادههای موجود بر روی وبگاههایی که کاربر بازدید میکند، مدیریت بارگیریها و ارتباط با برنامههای کاربردی اصلی.
هدف اصلی این افزونه تبدیل کردن وبگاه به یک سند پیدیاف و باز کردن آن با ادوبی ریدر است و این جزو ویژگیهایی است که توسط شرکت ادوبی در مرورگر کروم ادغام شده است. تبدیل وبگاه به پیدیاف نیازمند این است که کاربر برنامهی آکروبات را خریداری کرده باشد در غیر اینصورت این برنامه چیزی بیش از یک برنامه برای خواندن و مرور اسناد پیدیاف نیست.
مسئلهی بدی که وجود دارد این است که این افزونه اطلاعات دیگری را از سامانهی کاربر جمعآوری کرده و برای کارگزارهای ادوبی ارسال میکند. شرکت ادوبی در مشاورهنامهی خود گفته است که اطلاعات جمعآوری شده مربوط به نوع مرورگر و نسخهی محصولات ادوبی است. این شرکت همچنین عنوان کرد، این افزونه هیچگونه اطلاعات شخصی کاربران را جمعآوری نمیکند.
موضوعی که این مسئله را بدتر میکند این است که ادوبی از نصب این افزونه به کاربران خود هیچ اطلاعی نداده است و کاربران نمیدانستند در کنار بهروزرسانیهای امنیتی، یک افزونه نیز در حال نصب شدن است. این افزونه قبل از فعال شدن درخواست مجوزها را به کاربران نمایش میدهد ولی در حین نصب شدن هیچ اطلاعرسانی به کاربر صورت نمیگیرد. به عبارت دیگر ادوبی بدون اطلاع دیگران یک افزونه را در سامانههای کاربران برای جمعآوری اطلاعات قرار داده و امیدوار بوده دیگران از این جریان باخبر نشوند.
در زمان نگارش این خبر، شرکت ادوبی بیانیهای را راجعبه قرار دادن این افزونه بر روی سامانههای کاربران منتشر نکرده است اما باتوجه به انتقادات شدید به این حرکت، انتظار میرود این شرکت نظراتی را در اسرع وقت منتشر کند.
منبع:
softpedia