بیش از ۲۰ میلیون کاربر، مسدودکننده‌های تبلیغاتی مخرب را از فروشگاه Chrome نصب کرده‌اند.

اگر شما هر یک از افزونه‌های مسدودکننده تبلیغاتی^(۱) که در ادامه بدان‌ها اشاره شده است را بر روی مرورگر Chrome خود نصب کرد‌ه‌اید، ممکن است موردحمله واقع شوید.

یک محقق امنیتی ۵ افزونه مسدودکننده تبلیغاتی را بر روی فروشگاه Chrome کشف کرد، که در حال حاضر توسط بیش از ۲۰ میلیون کاربر نصب شده‌اند.

متأسفانه، افزونه‌های مرورگرِ مخرب چیزی جدیدی نیستند. آن‌ها اغلب به هر کاری که شما آنلاین انجام می‌دهید، دسترسی پیدا می‌کنند و می‌توانند به سازندگان خود اجازه دهند هرگونه اطلاعات قربانیان ازجمله رمزهای عبور، تاریخچه مرور وب و جزئیات کارت‌های اعتباری را سرقت کنند.

این ۵ افزونه مخرب توسط Andrey Meshkov کشف شدند که یکی از بنیان‌گذاران Adguard است. این افزونه‌ها در حقیقت نسخه‌های کپی شده از بعضی مسدودکننده‌های تبلیغاتیِ شناخته‌شده و قانونی هستند.

سازندگان این افزونه‌ها همچنین از کلیدواژه‌های معروف در نام‌ها و توضیحات خود استفاده می‌کنند تا در نتایج جستجو رتبه بالاتری کسب کنند و احتمال اینکه تعداد کاربران بیشتری آن‌ها را دانلود کنند افزایش می‌یابد.

Meshkov دراین‌باره می‌گوید[۱]: “تمام افزونه‌هایی که من کشف کرده‌ام، به‌سادگی با چند خط کد و برخی کدهای تجزیه‌وتحلیل که توسط نویسندگان اضافه شده است، ویرایش شده‌اند.”

پس‌ازاینکه Meshkov یافته‌های خود را به گوگل در روز سه‌شنبه ۱۹ آوریل ۲۰۱۸ گزارش کرد، این غول فناوری فوراً تمام موارد ذکرشده از مسدودکننده‌های تبلیغاتی مخربِ زیر را از فروشگاه Chrome حذف کرد:

• AdRemover for Google Chrome™ (10 million+ users)
• uBlock Plus (8 million+ users)
• [Fake] Adblock Pro (2 million+ users)
• HD for YouTube™ (400,000+ users)
• Webutation (30,000+ users)

Meshkov افزونه AdRemover را برای Chrome دانلود کرد و بعد از تجزیه‌وتحلیل آن، کشف کرد که یک کد مخرب در نسخه اصلاح‌شده jQuery که یک کتابخانه جاوا اسکریپت شناخته شده است، پنهان شده است و اطلاعاتی را در مورد برخی از وب‌سایت‌هایی که کاربر مشاهده می‌کند به یک سرورِ از راه دور ارسال می‌کند.

این خبر را نیز مطالعه کنید[۲].

این افزونه مخرب، در مرحله بعدی دستورات را از یک سرورِ از راه دور دریافت می‌کند که در صفحه پس‌زمینه^(۲) افزونه وجود دارد و می‌تواند رفتار مرورگر شما را تغییر دهد.

برای جلوگیری از تشخیص داده شدن، این دستورات که توسط سرورِ از راه دور ارسال می‌شوند، در داخل یک تصویر به نظر بی‌خطر مخفی می‌شوند.

Meshkov دراین‌باره می‌گوید: “این دستورات اسکریپت‌هایی هستند که سپس در یک زمینه دارای امتیاز بالا (صفحه پس‌زمینه افزونه) اجرا می‌شوند و می‌توانند رفتار مرورگر شما را تغییر دهند.”

“اساساً، این یک بات‌نت است که متشکل از مرورگرهایی است که با افزونه‌های Adblock قلابی آلوده شده‌اند. مرورگر هر آنچه سرور مرکزی به آن دستور می‌دهد را انجام می‌دهد.”

این محقق همچنین افزونه‌های دیگر در فروشگاه Chrome را بررسی کرد و چهار افزونه دیگر را با استفاده از تاکتیک‌های مشابه پیدا کرد.

این خبر را نیز مطالعه کنید[۳].

ازآنجاکه افزونه‌های مرورگر اجازه دسترسی به تمام صفحات وب شما را دارند، می‌توانند عملاً هر کاری را انجام دهند.

بنابراین، به شما توصیه می‌شود افزونه‌های کمی نصب کنید و تنها از شرکت‌هایی که به آن‌ها اعتماد دارید، آن‌ها را دانلود و نصب کنید.

منابع

[۱] https://blog.adguard.com/en/over-20-000-000-of-chrome-users-are-victims-of-fake-ad-blockers

[۲] https://thehackernews.com/2017/07/chrome-extention-hacking-adware.html

[۳] https://thehackernews.com/2014/04/malicious-chrome-extension-hijacks.html

[۴] https://thehackernews.com/2018/04/adblocker-chrome-extention.html

(۱) ad blockers
(۲) background page