القائمة الرئيسية

الصفحات

اكتشاف 500 اضافة في جوجل كروم تقوم بسرقة البيانات الشخصية لـ 1.7 مليون مستخدم

اكتشاف 500 اضافة في جوجل كروم تقوم بسرقة البيانات الشخصية لـ 1.7 مليون مستخدم

اكتشاف 500 اضافة في جوجل كروم تقوم بسرقة البيانات الشخصية لـ 1.7 مليون   مستخدم
قامت شركة Google بإزالة 500 اضافة ضارة من متجرها على الويب بعد أن عثرت على حقن إعلانات ضارة وسحب بيانات تصفح المستخدم وارسالها إلى خوادم تحت سيطرة المهاجمين.
كانت هذه الإضافات جزءً من حملة للإعلانات والاحتيال التي كانت تعمل على الأقل منذ يناير 2019 ، على الرغم من أن الأدلة تشير إلى احتمال أن يكون الفاعل وراء المخطط نشطًا منذ عام 2017.
تأتي هذه النتائج كجزء من تحقيق مشترك أجرته الباحثة الأمنية جميلة كايا بالاشتراك مع Duo Security المملوكة لشركة سيسكو ، والتي اكتشفت 70 اضافة مع أكثر من 1.7 مليون عملية تنصيب.
عند مشاركة هذا الاكتشاف بشكل خاص مع Google ، تابعت الشركة تحديدا 430 من اضافات المتصفح الأكثر إشكالية ، والتي تم إلغاء تنشيطها جميعًا.
وقال جاكوب ريكيرد من كايا ودو سيكيوريتي في التقرير "سيظل بروز الشبح كناقل للهجوم في ارتفاع طالما ظل الإعلان القائم على التتبع في كل مكان ، وخاصة إذا ظل المستخدمون محرومين من آليات الحماية المناسبة".

حملة اعلانات ضارة مخفية بشكل جيد
باستخدام أداة تقييم أمان امتدادات Chrome من Duo Security - تسمى CRXcavator - تمكن الباحثون من التأكد من أن اضافات المتصفح تعمل عن طريق توصيل العملاء بشكل خفي بخادم تحكم وسيطرة يتحكم فيه المهاجمون (C2) مما جعل من الممكن الحصول على بيانات التصفح دون معرفة المستخدمين.
الإضافات ، التي تعمل تحت ستار الترقيات والخدمات الإعلانية ، تحتوي على شفرة مصدر شبه متطابقة ولكنها تختلف في أسماء الوظائف ، وبالتالي تهرب من آليات الاكتشاف الخاص بمتجر اضافات كروم.

ملحقات كروم

بالإضافة إلى طلب أذونات شاملة تمنح الإضافات حق الوصول إلى الحافظة وجميع ملفات تعريف الارتباط المخزنة محليًا في المتصفح ، فإنها تتصل بشكل دوري بدومين له نفس اسم الاضافة (على سبيل المثال ، Mapstrekcom و ArcadeYumcom) للتحقق من التعليمات حول كيفية إلغاء التثبيت من المتصفح.
عند إجراء اتصال مبدئي مع الموقع ، تقوم الإضافات لاحقًا باجراء اتصالًا بنطاق C2 مرمّزًا - على سبيل المثال ، DTSINCEcom - لانتظار أوامر أخرى ومواقع تحميل بيانات المستخدم وتلقي قوائم محدّثة من الإعلانات الضارة ونطاقات إعادة التوجيه ، والتي لاحقًا تقوم بإعادة توجيه جلسات تصفح المستخدمين إلى مزيج من المواقع الشرعية ومواقع التصيد.

ووجد التقرير أن "جزءًا كبيرًا من هذه التدفقات عبارة عن تدفقات إعلانية حميدة ، مما يؤدي إلى ظهور إعلانات مثل Macy أو Dell أو Best Buy". "يمكن اعتبار بعض هذه الإعلانات شرعية ؛ ومع ذلك ، فمن 60 إلى 70 في المائة من وقت حدوث إعادة توجيه ، تشير تدفقات الإعلانات إلى موقع ضار."

احذر من امتدادات متصفح سرقة البيانات
ليست هذه هي المرة الأولى التي يتم فيها اكتشاف ملحقات سرقة البيانات على متصفح Chrome. في يوليو الماضي ، كشف الباحث الأمني ​​سام جادلي و واشنطن بوست عن تسرب هائل للبيانات يسمى DataSpii (تجسس البيانات الواضحة) ارتكبته ملحقات Chrome shadow و Firefox المثبتة على أربعة ملايين من متصفحات المستخدمين.
جمعت هذه الإضافات نشاط التصفح - بما في ذلك معلومات التعريف الشخصية - وشاركتها مع وسيط بيانات من جهة خارجية لم يكشف عن اسمه قام بتمريره إلى شركة تحليلات تدعى Nacho Analytics (تم إيقاف تشغيلها الآن) ، والتي باعت البيانات التي تم جمعها للاعضاء المشتركين في الوقت الحقيقي القريب.

استجابةً لذلك ، بدأت Google في طلب الإضافات لطلب الوصول فقط إلى "أقل كمية من البيانات" بدءًا من 15 أكتوبر 2019 ، وحظر أي إضافات لا تتضمن سياسة خصوصية وجمع بيانات عن عادات تصفح المستخدمين.

في الوقت الحالي ، يتم تطبيق نفس قاعدة الحذر: مراجعة أذونات الاضافة الخاصة بك ، والنظر في إلغاء تثبيت الامتدادات التي نادراً ما تستخدمها أو التبديل إلى بدائل البرامج الأخرى التي لا تتطلب الوصول إلى نشاط المستعرض الخاص بك.

هل لديك ما تقوله حول هذه المقالة؟ يمكنك التعليق أدناه أو مشاركتها معنا على Facebook أو Twitter.
reaction:

تعليقات