گوگل کروم بار دیگر مورد هدف افزونه‌های مخرب قرار گرفت

کمیته رکن چهارم – پژوهشگران شرکت امنیت شبکه‌ی ICEBRG به تازگی در فروشگاه وب رسمی گوگل کروم ۴ افزونه‌ی مخرب با بیش از ۵۰۰ هزار کاربر کشف کرده‌اند و مانند حوادث گذشته، پیامدهای آن هم برای مصرف‌کنندگان و هم سازمان‌ها جدی است.

شرکت ICEBRG به گوگل اطلاع داد و از آن زمان ۳ مورد از این افزونه‌ها از فروشگاه وب کروم حذف شده است. مشخص نیست که چرا چهارمین مورد یعنی Nyoogle حذف نشد و باقی ماند و گوگل در این مورد پاسخی نداد. ۳ افزونه‌ی دیگر Stickies، Lite Bookmarks و Change HTTP Request Header هستند.

پژوهشگران ICEBRG به نام‌های جاستین وارنر و ماریو دِ توره در یک پست وبلاگی نوشتند: «اتصال یک سبک فروشگاه افزونه‌ی «نصب آسان» برای کاربران، درک محدود خطرات اساسی، و خنثی کردن کنترل‌ها، سازمان‌ها را در برابر یک عامل حمله آسیب‌پذیر می‌کند.»

شرکت ICEBRG متوجه یک افزایش مشکوکی در ترافیک خروجی شبکه از یک ایستگاه کاری در وب‌گاه یک مشتری شد. پژوهشگران نوشتند: «بعدها پژوهش‌های آن‌ها منجر به کشف افزونه‌های مخرب شد. با احتمال زیاد، این افزونه‌ها برای فریب در کلیک و دستکاری بهینه‌سازی موتور جستجو استفاده شده بودند، اما با این وجود، موقعیت‌هایی ایجاد کرد که عاملان تهدید توانستند برای دسترسی به شبکه‌های اشتراکی و اطلاعات کاربر از آن استفاده کنند.»

آن‌ها در تلاش هستند که یک توضیح فنی دقیقی در مورد پژوهش‌های خود و روش‌های استفاده شده توسط افزونه‌ها برای تزریق و اجرای کد جاوااسکریپت مخرب ارائه دهند.

پژوهشگران گفتند: « موتور جاوااسکریپت کروم همان‌طور که طراحی شده است، کد جاوااسکریپت موجود در JSON را ارزیابی می‌کند. به خاطر نگرانی‌های امنیتی، کروم از بازیابی JSON از یک منبع خارجی توسط افزونه‌هایی که باید به طور صریح استفاده‌ی خود از طریق سیاست امنیت محتوا را درخواست کنند، جلوگیری می‌کند. هنگامی که یک افزونه، مجوز «unsafe-eval» را برای انجام چنین اقداماتی فعال می‌کند، ممکن است JSON را از یک کارگزاری که به صورت خارجی کنترل می‌شود بازیابی و پردازش کند. با این کار نویسنده‌ی افزونه می‌تواند هر زمان که کارگزار به‌روزرسانی یک درخواست دریافت کند، کد جاواااسکریپت دلخواه را تزریق و اجرا کند.»

گوگل و شرکت ICEBRG این مسأله را به مرکز امنیت سایبری ملی هلند (NCSC-NL)، گروه آمادگی اضطراری رایانه‌ی آمریکا (US-CERT) و مشتریان آسیب‌دیده‌ی ICEBRG اطلاع داده‌اند.

کروم حدود ۶۰ درصد از کل بازار مرورگر را در دست دارد، که این سهم بازار آن را به یک هدف مطلوب برای بهره‌برداری مجرمانه تبدیل می‌کند. و در ماه‌های اخیر، برخی افزونه‌های مخرب کروم کشف شده است. یکی از آن ها که در ماه آگوست کشف شد توسط مجرمان برزیلی برای تقلب‌ها و جعل‌های بانکی استفاده می‌شد.

افزونه‌ی دیگر که در ماه اکتبر کشف شد، یک پرونده‌ی .cab را در رایانه‌های قربانی بارگیری و نصب می‌کرد که تمام اطلاعاتی را که در هر وب‌گاهی وارد کرده بود به سرقت می‌برد و آن‌ها را به یک کارگزار راه دور ارسال می‌کرد.

پژوهشگران ICEBRG خاطرنشان کردند که گوگل با ویژگی‌های امنیتی که سازگاری بیشتری با سازمان‌ها دارند برای مدیریت افزونه‌ها آمادگی پیدا کرده است. به عنوان مثال، کارکنان فناوری اطلاعات توانسته‌اند افزونه‌های خاصی را به لیست سیاه اضافه کنند، اما اخیراً به توانایی تنظیم محدودیت‌های مبتنی بر سیاست نیز دست یافته‌اند.

شرکت ICEBRG گفت: «بدون بررسی یا کنترل این روش، افزونه‌های مخرب کروم همچنان شبکه‌های سازمان‌ها را در معرض خطر قرار می‌دهند.»

کن اسپینر، معاون مهندسی در شرکت امنیتی Varonis گفت: «تمسخرآمیز است که کروم به عنوان یک مرورگر امن‌تر از بین مرورگرهای دیگر موجود در بازار دیده می‌شود. بدیهی است که این مسأله می‌تواند دلیل نگرانی کاربران باشد.»

منبع : news.asis.io