EnlargeICEBRG
اكتشف الباحثون أربعة امتدادات خبيثة مع المزيد من أكثر من 500000 عملية تنزيل مجمعة من Google Chrome Web Store ، العثور على أن يسلط الضوء على نقطة ضعف رئيسية في ما يعتبر على نطاق واسع ليكون متصفح الإنترنت الأكثر أمانا. تمت إزالة Google منذ ذلك الحين الملحقات.
الباحثون من شركة الأمن ICEBRG تعثرت على العثور بعد الكشف عن ارتفاع مشبوه في حركة مرور الشبكة الصادرة القادمة من محطة عمل العملاء. اكتشفوا قريبا أنه تم إنشاؤه بواسطة ملحق Chrome يسمى رأس طلب HTTP لأنه يستخدم الجهاز المصاب لزيارة موقع الويب المتعلق بالإعلانات بشكل خفي الروابط. اكتشف الباحثون فيما بعد ثلاثة كروم آخرين الإضافات – Nyoogle و Stickies و Lite Bookmarks – التي فعلت الكثير نفس الشيء. ICEBRG تشك في أن التمديدات كانت جزءًا من احتيال النقر الاحتيالي الذي حقق إيرادات من مكافآت النقر. لكن وحذر الباحثون من أن الإضافات الخبيثة يمكن أن تكون كذلك بسهولة تم استخدامها للتجسس على الأشخاص أو المنظمات التي تثبيتها.
“في هذه الحالة ، الثقة الكامنة لـ Google الخارجية ملحقات ، ومخاطر مقبولة من سيطرة المستخدم على هذه التمديدات ، سمحت لحملة احتيال واسعة بالنجاح ، “ICEBRG كتب الباحثون في تقرير نشر الجمعة. “في يد أ الفاعل التهديد المتطورة ، يمكن أن يكون لها نفس الأداة والتقنية تمكين رأس جسر في الشبكات المستهدفة. ”
قامت Google بإزالة الامتدادات من سوق Chrome الإلكتروني بعد ذكرت ICEBRG من القطاع الخاص نتائجها. كما نبهت ICEBRG مركز الأمن السيبراني الوطني لهولندا والولايات المتحدة الأمريكية. في تقريرها العام ، واصلت ICEBRG لشرح كيف الخبيثة عملت ملحقات:
حسب التصميم ، يقوم محرك جافا سكريبت في Chrome بتقييم (التنفيذ) شفرة جافا سكريبت المضمنة في JSON. بسبب المخاوف الأمنية ، يمنع Chrome القدرة على استرداد JSON من الخارج مصدر بالامتدادات ، والتي يجب أن تطلب استخدامها صراحة عبر سياسة أمان المحتوى (CSP). عندما التمديد لا تمكين “غير آمنة eval” (الشكل 3) إذن للقيام بمثل هذه الإجراءات ، قد استرجاع ومعالجة JSON من خادم يتم التحكم به خارجيًا. يؤدي هذا إلى إنشاء سيناريو يمكن فيه لمؤلف الامتداد حقنه وتنفيذ شفرة جافا سكريبت التعسفي في أي وقت خادم التحديث يتلقى الطلب.
يقوم ملحق تغيير طلب رأس HTTP بتنزيل JSON عبر وظيفة تسمى “update_presets ()” والتي تقوم بتنزيل blob JSON من “تغير الطلب [.] المعلومات”
هذه ليست بأي حال من الأحوال أول مرة تتم فيها امتدادات Chrome سوء المعاملة. في أواخر يوليو وأوائل أغسطس ، مهاجمين مجهولين تعرض للخطر حسابات ملحقين على الأقل من Chrome المطورين. ثم استخدم المجرمون وصولهم غير المصرح به إلى تثبيت تحديثات الإضافات التي حقنت الإعلانات تلقائيًا في المواقع التي زارها المستخدمون. في وقت لاحق من شهر أغسطس ، ريناتو مارينهو ، الذي هو كبير مسؤولي الأبحاث في مختبرات Morphus ومتطوع في SANS معهد ، كشفت عن احتيال تفصيلي البنك الاحتيال التي تستخدم إضافة ضارة في متجر Google Chrome الإلكتروني لسرقة الأهداف كلمات السر.
يعتبر Chrome على نطاق واسع واحدًا من أكثر برامج الإنترنت أمانًا المتصفحات ، في جزء كبير منه بسبب التوافر السريع لل تصحيحات الأمان وفعالية صندوق الحماية الخاص به ، مما يمنع المحتوى غير الموثوق به من التفاعل مع الأجزاء الرئيسية من نظام التشغيل الأساسي. تقويض هذا الأمن هو التهديد الذي تشكله الامتدادات الخبيثة. يجب على الناس تجنب تثبيتها ما لم تقدم ملحقات فائدة حقيقية ، و ثم فقط بعد البحث الدقيق في المطور أو تحليل رمز التمديد والسلوك.
