روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  پژوهشگران امنیت سایبری موفق به شناسایی ۵۷ افزونه مشکوک در فروشگاه رسمی Chrome Web Store شده‌اند که تاکنون بیش از شش میلیون بار نصب شده‌اند. نکته نگران‌کننده این است که مجوزهایی که این افزونه‌ها هنگام نصب درخواست می‌کنند، با توضیحات آن‌ها همخوانی ندارد. علاوه بر این، این افزونه‌ها در نتایج جستجوی فروشگاه کروم یا موتورهای جستجو ظاهر نمی‌شوند و تنها از طریق لینک مستقیم قابل دسترسی و نصب هستند. در این مقاله، به خطرات احتمالی این افزونه‌ها، دلیل جذابیت آن‌ها برای مجرمان سایبری و راهکارهایی برای در امان ماندن از آسیب‌های احتمالی پرداخته شده است. با ما همراه بمانید.

چرا افزونه‌ها می‌توانند خطرناک باشند؟

ما بارها درباره این موضوع هشدار داده‌ایم که افزونه‌های مرورگر نباید بدون دقت و بررسی نصب شوند. افزونه‌ها اغلب برای تسریع برخی کارهای روزمره مانند ترجمه محتوای وب‌سایت‌ها یا بررسی املای کلمات طراحی شده‌اند؛ اما این صرفه‌جویی چند دقیقه‌ای در زمان، معمولاً بهای سنگینش را با حریم خصوصی و امنیت پرداخت می‌کند. دلیل این امر آن است که افزونه‌ها برای عملکرد صحیح، معمولاً به دسترسی کامل به فعالیت‌های کاربر در مرورگر نیاز دارند. حتی افزونه‌ای مانند Google Translate نیز هنگام نصب، اجازه «خواندن و تغییر تمام داده‌های شما در تمام وب‌سایت‌ها» را درخواست می‌کند — یعنی نه‌تنها می‌تواند تمام فعالیت‌های آنلاین شما را زیر نظر بگیرد، بلکه امکان تغییر اطلاعات موجود در صفحات وب را نیز دارد. برای مثال، ممکن است به‌جای متن اصلی، نسخه ترجمه‌شده را نمایش دهد. حال تصور کنید که یک افزونه مخرب با همین سطح دسترسی تا چه اندازه می‌تواند خطرناک باشد!

مشکل اینجاست که بیشتر کاربران از ریسک‌های ناشی از استفاده افزونه‌ها آگاهی ندارند. در حالی‌که فایل‌های اجرایی از منابع نامعتبر معمولاً به‌عنوان خطر بالقوه شناخته می‌شوند، افزونه‌های مرورگر — به‌ویژه آن‌هایی که از فروشگاه‌های رسمی دریافت می‌شوند — همچنان از اعتماد عمومی بالایی برخوردارند.

دسترسی‌های بیش از حد و غیرضروری؛ نشانه‌ای از مقصودی شرورانه

در مورد ۵۷ افزونه مشکوکی که در فروشگاه کروم شناسایی شده‌اند، اصلی‌ترین نشانه رفتار مخرب، میزان گسترده مجوزهایی بود که این افزونه‌ها درخواست می‌کردند؛ از جمله دسترسی به کوکی‌ها — حتی کوکی‌های مربوط به احراز هویت کاربران.

در عمل، این دسترسی‌ها به مهاجمان امکان سرقت کوکی‌های سشن  را می‌دهد. این کوکی‌ها برای ورود خودکار کاربران به حساب‌هایشان بدون نیاز به وارد کردن مجدد رمز عبور استفاده می‌شوند. بنابراین، مجرمان سایبری با در اختیار داشتن این کوکی‌ها می‌توانند بدون دانستن رمز عبور، وارد حساب‌های کاربری افراد در شبکه‌های اجتماعی یا فروشگاه‌های اینترنتی شوند. افزون بر این، مجوزهایی که این افزونه‌ها درخواست می‌کردند، مجموعه‌ای از قابلیت‌های خطرناک را در اختیارشان قرار می‌داد، از جمله:

• ردیابی کامل فعالیت‌های کاربر در مرورگر کروم
• تغییر موتور جستجوی پیش‌فرض و دست‌کاری نتایج جستجو
• تزریق و اجرای کدهای مخرب در صفحات وب بازدیدشده توسط کاربر
• فعال‌سازی ردیابی پیشرفته از راه دور برای زیر نظر گرفتن دقیق رفتارهای آنلاین کاربر

این سطح از دسترسی، در صورت سوءاستفاده، می‌تواند منجر به نقض گسترده حریم خصوصی و حتی سرقت اطلاعات حساس شود. محقق امنیت سایبری، جان تاکنر، پس از بررسی کد یکی از افزونه‌ها به نامFire Shield Extension Protection به ردپای افزونه‌های مشکوک رسید. تاکنر ابتدا به این افزونه توجه کرد چون در فروشگاه رسمی کروم به صورت مخفی منتشر شده بود — یعنی در نتایج جستجوی فروشگاه دیده نمی‌شد و تنها از طریق لینک مستقیم قابل دسترسی بود. شایان ذکر است که افزونه‌ها و برنامه‌های مخفی در فروشگاه‌های رسمی موضوعی نادر اما شناخته‌شده است. پلتفرم‌های بزرگ این امکان را به توسعه‌دهندگان می‌دهند تا محصولات‌شان را از دید کاربران عادی پنهان کنند. معمولاً این روش برای نرم‌افزارهای خصوصی شرکتی و استفاده محدود به کارکنان همان شرکت است. دلیل دیگر معمول برای مخفی کردن محصول، مرحله توسعه و آزمایش آن است.

اما هر دوی این توضیحات در مورد Fire Shield با بیش از ۳۰۰ هزار کاربر رد می‌شود؛ ابزاری شرکتی خصوصی که در حال توسعه باشد و چنین تعداد کاربری داشته باشد، چندان منطقی نیست. علاوه بر این، قابلیت‌های این افزونه با ویژگی‌های یک ابزار تخصصی شرکتی همخوانی نداشت. توضیحات افزونه اعلام می‌کرد که Fire Shield مجوزهای درخواستی توسط دیگر افزونه‌های نصب‌شده روی مرورگر کاربر را بررسی کرده و درباره افزونه‌های ناامن هشدار می‌دهد.

برای انجام چنین کاری، تنها نیاز به دسترسی به API مدیریت کروم داشت که به آن اجازه می‌داد اطلاعات افزونه‌های دیگر را دریافت و مدیریت کند. اما Fire Shield درخواست مجوزهای بسیار گسترده‌تری داشت که پیش‌تر و همراه با توضیح تهدیدات مرتبط با آن‌ها ذکر شد.

۵۷افزونه‌ای که در پوشش ابزارهای قانونی فعالیت می‌کردند

حین بررسی افزونه «Fire Shield Extension Protection»، جان تاکنر سرنخی پیدا کرد که او را به ۳۵ افزونه مشکوک دیگر هدایت کرد. در میان لینک‌های استخراج‌شده از کد این افزونه، دامنه‌ای با نام unknow[.]com مشاهده شد که به نظر می‌رسد اشتباه املایی کلمه «unknown» باشد. اشتباهات املایی در دامنه‌ها برای هر کارشناس امنیت سایبری زنگ خطری است، زیرا این ترفندی رایج توسط کلاهبرداران است که امیدوارند قربانی متوجه نشود. با استفاده از ابزارهای تخصصی، تاکنر ۳۵ افزونه دیگر مرتبط با همین دامنه مشکوک را پیدا کرد. نام افزونه‌ها شباهت‌های زیادی به هم داشت که ارتباط آن‌ها را تأیید می‌کرد. همه این افزونه‌ها درخواست دسترسی‌های گسترده‌ای داشتند که با توضیحات ارائه‌شده همخوانی نداشت.

بیشتر این افزونه‌های مشکوک ویژگی‌های استانداردی را در توصیف خود داشتند، مثل مسدودسازی تبلیغات، بهبود نتایج جستجو و حفاظت از حریم خصوصی کاربران، اما در واقع بسیاری از آن‌ها فاقد کدهای لازم برای انجام این وظایف بودند. برخی از افزونه‌ها نیز متعلق به یک شرکت خاص بودند. تحقیقات بیشتر باعث شد تاکنر ۲۲ افزونه مشکوک دیگر را کشف کند که برخی از آن‌ها به صورت عمومی (نه مخفی) در دسترس بودند. در ادامه فهرست کامل افزونه‌ها آمده است و در اینجا فقط افزونه‌های مخفی با بیشترین تعداد نصب را معرفی می‌کنیم:

•          Fire Shield Extension Protection  ۳۰۰هزار کاربر
•          Total Safety for Chrome ۳۰۰هزار کاربر
•          Protecto for Chrome ۲۰۰هزار کاربر
•          Securify for Chrome ۲۰۰هزار کاربر
•          Choose Your Chrome Tools ۲۰۰هزار کاربر

این افزونه‌ها با وعده ابزارهای مفید، در واقع تهدیدی جدی برای امنیت و حریم خصوصی کاربران به شمار می‌روند.

جمع‌بندی نهایی

تمام شواهد حاکی از این است که مهاجمان افزونه‌های مخرب خود را به صورت مخفی در فروشگاه رسمی کروم پنهان می‌کنند تا از دید ناظران فروشگاه دور بمانند. این افزونه‌ها اغلب از طریق تبلیغات جستجو یا سایت‌های مخرب نیز منتشر می‌شوند. محققان هیچ موردی از سرقت مستقیم پسورد یا کوکی‌های کاربران توسط این افزونه‌ها نیافته‌اند. اما پس از بررسی دقیق کدها و انجام چند آزمایش، به این نتیجه رسیدند که ردیابی گسترده فعالیت کاربران بلافاصله پس از نصب آغاز نمی‌شود و ممکن است با دریافت فرمانی از سرور کنترل از راه دور فعال شود. ساختار کدها، امکان کنترل از راه دور، الگوهای رفتاری تکرارشونده و عملکردهای جاسوسی این افزونه‌ها نشان می‌دهد که همگی از یک خانواده نرم‌افزارهای جاسوسی یا برنامه‌های سرقت اطلاعات هستند.

بر این اساس توصیه می‌کنیم:

•          دستگاه خود را بررسی کنید تا از وجود احتمالی افزونه‌های مشکوک مطمئن شوید (لیست کامل افزونه‌ها را ببینید).
•          تنها افزونه‌هایی را نصب کنید که واقعاً به آن‌ها نیاز دارید؛ به‌صورت دوره‌ای فهرست افزونه‌های مرورگر خود را مرور کرده و افزونه‌های بلااستفاده یا مشکوک را فوراً حذف کنید.
•          روی همه دستگاه‌های خود یک نرم‌افزار امنیتی معتبر نصب کنید تا در زمان مناسب شما را از خطرات احتمالی آگاه سازد.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.