Son günlerde Google Chrome kullanıcıları için son derece önemli bir güvenlik açığı tespit edilmiştir. Chrome Web Mağazası’nda bulunan en az 33 tarayıcı uzantısının 18 aydır 2.6 milyondan fazla cihazdan veri topladığı ortaya çıkmıştır. Bu güvenlik ihlali, veri kaybı önleme aracı olan Cyberhaven uzantısının 24.10.4 güncellemesiyle başlamıştır.
Zararlı kod içeren bu sürüm 25 Aralık’tan 26 Aralık’a kadar aktif kalmış ve bu süre zarfında kötü niyetli kodlar otomatik olarak tarayıcılara yüklenmiştir. Bu durum, kullanıcıların Facebook ve ChatGPT gibi popüler platformlardaki kimlik bilgilerini hedef almıştır. Yapılan araştırmalar, olayın kimlik bilgileri ele geçirildi şeklinde geliştiğini göstermektedir.
Saldırının, uzantı geliştiricilerine gönderilen oltalama (phishing) e-postaları aracılığıyla gerçekleştiği belirlenmiştir. 24 Aralık’ta uzantıların Google kullanım koşullarına uymadığına dair sahte bir e-posta gönderilmiştir. E-postadaki bağlantıya tıklayan bir geliştirici, kimlik doğrulama izni vermesiyle saldırganlar uzantının kontrolünü ele geçirip zararlı güncellemeyi yayına almıştır. Araştırmalar, bu saldırının yalnızca Cyberhaven uzantısıyla sınırlı kalmadığını, toplamda 33 uzantının etkilendiğini ortaya koymuştur.
Bu uzantılardan bazıları, 1.46 milyon kez indirilmiştir. Ayrıca, Reader Mode uzantısının, Nisan 2023’ten bu yana süregelen başka bir saldırı kampanyasının parçası olduğu tespit edilmiştir. İşte, bu güvenlik ihlalinden etkilenen 33 zararlı uzantı:
| İsim | ID | Versiyon |
| VPNCity | nnpnnpemnckcfdebeekibpiijlicmpom | 2.0.1 |
| Parrot Talks | kkodiihpgodmdankclfibbiphjkfdenh | 1.16.2 |
| Uvoice | oaikpkmjciadfpddlpjjdapglcihgdle | 1.0.12 |
| Internxt VPN | dpggmcodlahmljkhlmpgpdcffdaoccni | 1.1.1 |
| Bookmark Favicon Changer | acmfnomgphggonodopogfbmkneepfgnh | 4.00 |
| Castorus | mnhffkhmpnefgklngfmlndmkimimbphc | 4.40 |
| Wayin AI | cedgndijpacnfbdggppddacngjfdkaca | 0.0.11 |
| Search Copilot AI Assistant for Chrome | bbdnohkpnbkdkmnkddobeafboooinpla | 1.0.1 |
| VidHelper Video Downloader | egmennebgadmncfjafcemlecimkepcle | 2.2.7 |
| AI Assistant – ChatGPT and Gemini for Chrome | bibjgkidgpfbblifamdlkdlhgihmfohh | 0.1.3 |
| TinaMind – The GPT-4o-powered AI Assistant! | befflofjcniongenjmbkgkoljhgliihe | 2.13.0 |
| Bard AI chat | pkgciiiancapdlpcbppfkmeaieppikkk | 1.3.7 |
| Reader Mode | llimhhconnjiflfimocjggfjdlmlhblm | 1.5.7 |
| Primus (prev. PADO) | oeiomhmbaapihbilkfkhmlajkeegnjhe | 3.18.0 |
| Cyberhaven security extension V3 | pajkjnmeojmbapicmbpliphjmcekeaac | 24.10.4 |
| GraphQL Network Inspector | ndlbedplllcgconngcnfmkadhokfaaln | 2.22.6 |
| GPT 4 Summary with OpenAI | epdjhgbipjpbbhoccdeipghoihibnfja | 1.4 |
| Vidnoz Flex – Video recorder & Video share | cplhlgabfijoiabgkigdafklbhhdkahj | 1.0.161 |
| YesCaptcha assistant | jiofmdifioeejeilfkpegipdjiopiekl | 1.1.61 |
| Proxy SwitchyOmega (V3) | hihblcmlaaademjlakdpicchbjnnnkbo | 3.0.2 |
| Reader Mode | llimhhconnjiflfimocjggfjdlmlhblm | 1.5.7 |
| Tackker – online keylogger tool | ekpkdmohpdnebfedjjfklhpefgpgaaji | 1.3 |
| AI Shop Buddy | epikoohpebngmakjinphfiagogjcnddm | 2.7.3 |
| Sort by Oldest | miglaibdlgminlepgeifekifakochlka | 1.4.5 |
| Rewards Search Automator | eanofdhdfbcalhflpbdipkjjkoimeeod | 1.4.9 |
| Earny – Up to 20% Cash Back | ogbhbgkiojdollpjbhbamafmedkeockb | 1.8.1 |
| ChatGPT Assistant – Smart Search | bgejafhieobnfpjlpcjjggoboebonfcg | 1.1.1 |
| Keyboard History Recorder | igbodamhgjohafcenbcljfegbipdfjpk | 2.3 |
| Email Hunter | mbindhfolmpijhodmgkloeeppmkhpmhc | 1.44 |
| Visual Effects for Google Meet | hodiladlefdpcbemnbbcpclbmknkiaem | 3.1.3 |
| ChatGPT App | lbneaaedflankmgmfbmaplggbmjjmbae | 1.3.8 |
| Web Mirror | eaijffijbobmnonfhilihbejadplhddo | 2.4 |
| Hi AI | hmiaoahjllhfgebflooeeefeiafpkfde | 1.0.0 |
Uzmanlar, kullanıcıların tarayıcı uzantılarını dikkatlice incelemesini, şüpheli uzantıları kaldırmasını ve kimlik bilgilerini güncellemelerini önermektedir. Bu olay, tarayıcı uzantılarının güvenlik açıkları açısından ne denli risk teşkil edebileceğini bir kez daha gözler önüne sermektedir.
Kaynak: Webtekno
