מעל 2.3 מיליון משתמשים נחשפו לריגול דרך תוספים פופולריים בכרום

Experis Cyber פרסמה התרעה אודות תופעה מדאיגה של תוספים פופולאריים לכרום שהתגלו ככלי ריגול זדוניים.

לפי הדו"ח, אותו הוציאה החברה ללקוחותיה השבוע, כמעט תריסר תוספים שהיו זמינים להורדה בחנות של Google Chrome, עם למעלה מ־2.3 מיליון התקנות, התגלו כתוספים זדוניים שיכולים לעקוב אחרי הגלישה של המשתמשים, לשלוח את המידע לשרתים חיצוניים, ולכוון את המשתמשים לאתרים מסוכנים.

למרות שחלק מהתוספים מספקים את מה שהם מבטיחים, כמו בוסטרים לקול, מקלדות אימוג'י או שירותי VPN, בפועל הם גם מבצעים מעקב סמוי אחר המשתמשים - מה שגורם להם להיראות לגיטימיים ובלתי מזיקים. צוות חוקרים מ־Koi Security גילה את התוספים ודיווח עליהם לגוגל; חלק מהתוספים הוסרו מאז, אבל חלקם עדיין פעילים וזמינים להורדה. חלק מהתוספים האלו אפילו מאומתים בחנות כרום, קיבלו מאות ביקורות חיוביות, ומופיעים בראש תוצאות החיפוש - מה שמטעה עוד יותר את המשתמשים לחשוב שהם בטוחים לשימוש.

בין התוספים שנמצאו כמסוכנים: Geco Color Picker, Emoji Keyboard Online, Free Weather Forecast Volume Max, Video Speed Controller, Unlock Discord VPN, Unlock TikTok, Dark Theme, ו־Unlock YouTube VPN. אחד מהתוספים, Volume Max, דווח כבר בעבר כחשוד על ידי חוקרים אחרים, אך רק כעת אושרה נוכחות קוד ריגול בו.

הריגול נעשה דרך קוד שמושתל "מאחורי הקלעים" של התוסף - ברקע, בזמן שהמשתמש גולש, והקוד הזה עוקב אחרי כל כתובת אתר שהוא מבקר בה. כל מידע כזה שנאסף נשלח עם מזהה ייחודי של המשתמש לשרת מרוחק, שהאקרים יכולים להשתמש בו כדי לבצע מעקב, לנתב מחדש את הגלישה או לגרום למשתמשים להגיע לאתרים שמכילים נוזקות.

החוקרים לא ראו בפועל ניסיונות לנתב את המשתמשים לאתרים מסוכנים, אך האפשרות קיימת והמערכת בנויה כך שזה יוכל לקרות בכל רגע. בגוגל משתמשים במערכת עדכון אוטומטית לתוספים, כך שהגרסה החדשה עם הקוד הזדוני עודכנה אוטומטית אצל המשתמשים - מבלי שהם אפילו ידעו שזה קרה. נראה שבחלק מהמקרים, התוספים היו בטוחים במשך שנים, ורק לאחרונה "נחטפו" על ידי שחקנים זדוניים שהשתילו את הקוד המסוכן - תרחיש שכבר קרה בעבר עם תוספים אחרים.

בנוסף לתוספים בכרום, אותרו תוספים זדוניים גם בחנות הרשמית של Microsoft Edge עם כ־600 אלף הורדות נוספות, מה שהופך את הפרשה הזו לאחת מהגדולות בתחום חטיפת דפדפנים, עם מעל 2.3 מיליון משתמשים שנפגעו. מומחי Experis Cyber ממליצים לכל מי שמוריד תוספים לכרום לבדוק את הגדרות ברירת המחדל של הגנת המיילים ולוודא שהאפשרות לחסימת Mail Bombing פעילה.

רומן מלכוב, מנהל ה- SOCב-:Experis Cyber ״החשיפה הזו מדגישה עד כמה גם תוספים פופולריים - שנראים לגיטימיים ואף מאומתים על ידי גוגל - יכולים להוות איום חמור על פרטיות המשתמשים. תופעת 'חטיפת תוספים' היא לא חדשה, אבל הפעם מדובר בהיקף חריג שמגיע למיליוני התקנות, כולל בקרב משתמשים ארגוניים. השילוב בין יכולות מעקב שקטות לבין הפצה דרך חנות רשמית הוא תמרור אזהרה לכולנו - גם למשתמשים פרטיים וגם לגופי IT. אנחנו ממליצים לארגונים לבצע סריקה שוטפת של התוספים בדפדפנים בארגון, לוודא שמנגנוני ההגנה מעודכנים, ולהפעיל חסימות ייעודיות - כמו הגנה בפני Mail Bombing - כחלק ממדיניות האבטחה היומיומית."