روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ چندی پیش، چند پلاگین مخرب در فروشگاه وبی کروم (فروشگاه رسمی افزونه مرورگر برای گوگل کروم) کشف شد. محبوبترین این افزونهها بیش از 9 میلیون بار و جمعاً این پلاگینها حدود 87 میلیون بار دانلود شده بودند. در ادامه توضیح خواهیم داد این افزونهها چه هستند و چرا خطر دارند. با ما همراه بمانید.
افزونههای مخرب در فروشگاه وبی کروم
همهاش از کشف محقق روس در حوزه امنیت سایبری به نام ولادیمیر پالانت شروع شد: او افزونهای را به نام PDF Toolbox پیدا کرد که حاوی کد مشکوکی در فروشگاه وبی کروم بود. در نگاه اول یک پلاگین موجه برای برگردان داکیومنتهای آفیس و اجرای سایر عملیاتهای ساده با فایلهای پی دیاف بود. PDF Toolbox با توجه به دو میلیون دانلودی که شد و امتیاز 4.2 که گرفت معلوم است میان کاربران محبوب بوده و نظرات کاربری خوبی هم از آن خود کرده است اما داخل این افزونه یک قابلیت «اضافی» کشف شده است: پلاگین به سایت serasearchtop[.]com دسترسی داشته وبسایتی که از آن کد دلخواه روی همه صفحاتی که کاربر مشاهده میکرده لود میشده است. سپس پالانت فروشگاه وبی کروم را برای پیدا کردن سایر افزونههایی که به این سرور دسترسی داشتند وارسی کرد و حالا با چندین پلاگین دیگر روبرو شد که همین قابلیت اضافی را به طور مشابهی دارا بودند. اینها جمعاً 55 میلیون بار دانلود شده بودند.
در نهایت، ولادیمیر محقق که حالا مجهز به کلی نمونه افزونه مخرب بود تحقیقی حتی جدیتر را روی این فروشگاه گوگلی پیش گرفت و 34 افزونه مخرب دیگر را که قابلیتهای هستهای آنها تماماً متفاوت بود پیدا کرد! به طور جمعی اینها 87 میلیون بار دانلود شده بودند. محبوبترین میان این پلاگینهای مخرب،Autoskip for Youtube بود که 9 میلیون بار دانلود شده بود. این افزونهها در سال 2021 و 2022 در فروشگاه وبی کروم آپلود شدند و این یعنی از وقتی این تحقیق انجام شده بوده، آنها دست کم شش ماه آنجا جا خشک کرده بودند. افزون بر این، از میان نظرات کاربری، شکایاتی هم به چشم میخورد در خصوص افزونههایی که در نتایج جستجو، آدرسها را با لینکهای آگهیافزار عوض میکردند.
همانطور که میتوان حدس زد، این شکایات توسط ناظران فروشگاه وبی کروم جدی گرفته نشد. بعد از تحقیق آقای پالانت و نیز مقاله دیگری با همین موضوع توسط تیمی از متخصصین، در نهایت گوگل تصمیم گرفت افزونههای خطرناک را حذف کند. اما چرا شرکت بزرگی چون گوگل باید بگذارد تیمی از محققین دست به کار شوند تا در نهایت بخواهد چنین تصمیمی بگیرد؟ همین اتفاق برای گوگل پلی هم افتاد. آنجا هم شکایات کاربران معمولی نادیده شد.
چرا افزونههای مرورگر مخرب مشخصاً خطرناک هستند؟
خلاصه بگوییم، افزونههای مرورگر مشکلات بسیاری به همراه دارند. اولی، سطح دسترسی به دادههای کاربرانی است که دارند. در حقیقت هر پلاگینی معمولاً برای اینکه درست عمل کند باید از شما بابت خواندن و تغییر دادههای شما روی همه وبسایتها رضایت بگیرد. و بله: این یعنی دقیقاً همان چیزی که خواندید. قانونش چنین است: پلاگینهای مرورگر بابت مشاهده و تغییر همه دادههای شما روی همه سایتها از شما رضایت میگیرند و این یعنی رصد کردنِ هر کاری که با دیدن سایتها انجام میدهید. آنها میتوانند هر لحظه محتوای صفحهی نمایش دادهشده را تعمداً تغییر دهند.
بالقوه سازندگان افزونه چنین کارهایی ازشان برمیآید:
- ردیابی همه فعالیتهای کاربر برای جمعآوری و فروش اطلاعات در مورد آنها
- سرقت جزئیات کارت و اطلاعات محرمانهی اکانت
- جاگذاری آگهیها در صفحات وبی
- جایگزین کردن لینک در نتایج سرچ (همانطور که بالاتر بدان اشاره شد)
- جایگزینی هوم پیج مرورگر با لینک آگهی
در نظر داشته باشید که کارایی مخرب پلاگین میتواند به مرور زمان و به موازات اهداف سازندهاش تکامل یابد. خود دارندگان هم ممکن است عوض شوند: مواردی بوده که قابلیتهای مخرب بعد از اینکه سازندگانش پلاگین را به کسی دیگری فروختند در افزونهای که قبلاً امن بوده ظاهر شده است. مشکل دوم این است که کاربران معمولاً به خطرات افزونههای مرورگر توجه نمیکنند. آنها خیلی از اینها را نصب کرده و به همه درخواستهای آنها تن میدهند (خواندن و تغییر هر دادهای در مرورگر). شانسی هم ندارند: اگر این کار را نکنند پلاگین خیلی راحت کار نخواهد کرد!
در تئوری، مدراتورهای فروشگاهها جایی که این پلاگینها قرار دارند باید امنیت افزونهها را مورد نظارت قرار دهند. اما –مشکل سوم- این است که این کار هم انجام نمیشود. حتی فروشگاه وب کروم که فروشگاه رسمی گوگل است هم در خود کلی افزونه مخرب دارد. تازه آنها میتوانند سالها هم بدون آنکه رصد شوند باقی بمانند (با وجود آن همه شکایت در بخش نظرات کاربری!).
گام بعدی بعد از نصب افزونه مخرب!
یادتان باشد که اگر پلاگینی از فروشگاه منع شود این لزوماً به معنای حذف خودکار از دستگاه همه کاربرانی که آن را نصب کردند نیست. پس ارزشش را دارد که بررسی کنید کدام افزونههای مخرب را روی دستگاه خود نصب کردهاید. آنها را فوراً پاک کرده و جایگزینهای امن را که در زیر آوردهایم دانلود نمایید:
- Autoskip for Youtube
- Soundboost
- Crystal Adblock
- Brisk VPN
- Clipboard Helper
- Maxi Refresher
- Quick Translation
- Easyview Reader view
- PDF Toolbox
- Epsilon Ad blocker
- Craft Cursors
- Alfablocker ad blocker
- Zoom Plus
- Base Image Downloader
- Clickish fun cursors
- Cursor-A custom cursor
- Amazing Dark Mode
- Maximum Color Changer for Youtube
- Awesome Auto Refresh
- Venus Adblock
- Adblock Dragon
- Readl Reader mode
- Volume Frenzy
- Image download center
- Font Customizer
- Easy Undo Closed Tabs
- Screence screen recorder
- OneCleaner
- Repeat button
- Leap Video Downloader
- Tap Image Downloader
- Qspeed Video Speed Controller
- HyperVolume
- Light picture-in-picture
این فهرست را خود ولادیمیر پالانت تهیه کرده است. او همچنین اشاره دارد فهرست پلاگینهای مخرب تکمیل نشده پس باید به باقی افزونهها نیز شک داشت.
راهکارهای امنیتی
اینها نشان میدهد نباید بی قید و شرط به مدراتورهای فروشگاهها –جایی که افزونههای مرورگر خود را میخرید- تکیه کنید. همیشه بهتر است خودتان نیز جانب احتیاط را رعایت نمایید. در ادامه راهکارهایی دادهای برای محافظت از خود در برابر پلاگینهای آلوده:
- افزونههای مرورگر متعدد نصب نکنید. هرقدر تعدادشان کمتر، امنتر.
- پیش از نصب افزونه نظرات کاربری را در موردش بخوانید. گرچه این تضمین خوبی نیست اما از هیچی هم بهتر است.
- هر از گاهی فهرست افزونههای نصبشدهتان را بررسی کنید و آنهایی را که نمیخواهید پاک کنید.
- روی همه دستگاههای خود راهکار محافظتی قابلاطمینان نصب کنید.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
