Bu popüler Chrome uzantıları saniyeler içinde verileri ifşa ediyor! Sözcü Gazetesi

Popüler Chrome uzantıları, kullanıcı verilerini korumayı vaat etseler de, Symantec’in son analizine göre pek çoğu verileri şifrelenmemiş HTTP üzerinden iletiyor ve kodlarına API anahtarları ile erişim belirteçleri gömüyor. Bu durum, özellikle halka açık Wi-Fi ağlarında “araya girme” (MITM) saldırılarına karşı büyük bir güvenlik açığı yaratıyor.

thehackernews.com'un haberine göre Browsec VPN, Microsoft Editor, Trust Wallet ve SEMRush Rank gibi milyonlarca indirmeye sahip uzantılar; cihaz kimliği, işletim sistemi bilgisi veya tarayıcı dili gibi verileri herhangi bir şifreleme söz konusu olmadan sunuculara gönderiyor. 

Güvenlik araştırmacısı Yuanjing Guo, bu trafik üzerinde yetkisiz üçüncü kişilerin kolaylıkla dinleme yapabileceğini ve kullanıcılar adına sahte işlemler başlatabileceğini uyarıyor.

Symantec’in tespitine göre bazı uzantılar, Google Analytics 4, Microsoft Azure veya AWS S3 hizmetlerine doğrudan erişim sağlayan API anahtarlarını JavaScript dosyalarına kodlanmış biçimde barındırıyor. Örneğin; DualSafe Password Manager HTTPS yerine HTTP kullanarak şifre yöneticisi verilerini, Equatio ise ses tanıma işlevi için etkin bir Azure anahtarını açığa vuruyor. Saldırganlar elde ettikleri bu anahtarlarla geliştiricilere maliyet yükleyebiliyor veya yasa dışı içerikleri depolamak için kaynak suistimali yapabiliyor.

InboxSDK gibi yaygın kullanılan dış kütüphaneler de en az 90 uzantıda kimlik bilgisi sızdırıyor. Böylece, eklentinin kendisi temiz görünse bile kullandığı bileşenler aracılığıyla arka kapı bırakmış oluyor.

Güvenlik uzmanları, HTTP üzerinden veri gönderen uzantılardan kaçınılmasını, API anahtarlarının yalnızca güvenli sunucularda saklanmasını ve bu kimlik bilgilerinin düzenli aralıklarla yenilenmesini tavsiye ediyor. Kullanıcıların, yüklü uzantılarını gözden geçirme ve gereksiz veya güvenilirliği sorgulanmayan eklentileri kaldırma zamanı gelmiş olabilir.