Google Eklenti Güvenlik Olayı: SwitchyOmega, Özel Anahtar çalmakla suçlanıyor, eklenti güvenlik önleme stratejileri tartışılıyor

Son günlerde, bazı kullanıcılar tanınmış proxy değiştirme eklentisi SwitchyOmega'nın Özel Anahtar çalma riski taşıyabileceğini bildirdi. Yapılan araştırmalar, bu güvenlik açığının geçen yıl ortaya çıktığını, ancak bazı kullanıcıların ilgili uyarıları dikkate almadığını ve etkilenen eklenti sürümünü kullanmaya devam ettiğini göstermektedir; bu da hesaplarının ele geçirilmesi gibi ciddi tehditlerle karşılaşmalarına neden olmaktadır. Bu makalede, eklentinin nasıl değiştirildiğine dair derinlemesine bir analiz yapılacak ve eklenti değişikliklerini önleme ve kötü niyetli eklentilerle başa çıkma yolları tartışılacaktır.

Olay İncelemesi

Bu olay, 24 Aralık 2024'teki bir saldırı soruşturmasından kaynaklandı. Bir şirketin bir çalışanı, kullanıcıların tarayıcı çerezlerini ve şifrelerini çalmayı amaçlayan kötü amaçlı kodun eklendiği bir tarayıcı eklentisi yayınlamasına neden olan bir phishing e-postası aldı. Bağımsız bir soruşturma, Google eklenti mağazasında 30'dan fazla eklentinin benzer saldırılara uğradığını göstermektedir, bunlar arasında Proxy SwitchOmega (V3) de bulunmaktadır.

Saldırganlar, bir şirketin Chrome Web Mağazası hesabının kontrolünü ele geçirmek için oltalama e-postaları kullandılar ve ardından kötü amaçlı kod içeren yeni bir uzantı sürümünü yüklediler. Chrome'un otomatik güncelleme mekanizmasını kullanarak, etkilenen kullanıcılar kötü amaçlı sürüme habersiz bir şekilde güncelleme yaptı.

Araştırma raporu, bu saldırılardan etkilenen eklentilerin Google mağazasında toplam indirme sayısının 500 binden fazla olduğunu, 2.6 milyondan fazla kullanıcı cihazındaki hassas verilerin çalındığını ve kullanıcılar için büyük bir güvenlik riski oluşturduğunu belirtiyor. Bu değiştirilmiş uzantılar, uygulama mağazasında en fazla 18 ay boyunca listelenmişken, mağdur kullanıcılar bu süre zarfında verilerinin sızdırıldığını neredeyse hiç fark edememiştir.

Chrome mağazasının güncelleme politikası, V2 sürümündeki eklentileri giderek daha az destekler hale geldiğinden, SwitchyOmega resmi orijinal eklentisi V2 sürümü olduğu için desteklenmeyenler arasında yer alıyor. Kirlenmiş kötü niyetli sürüm V3 sürümüdür ve geliştirici hesabı, orijinal V2 sürümünün hesabından farklıdır. Bu nedenle, bu sürümün resmi olarak yayımlanıp yayımlanmadığını doğrulamak mümkün değildir ve resmi hesabın bir hacker tarafından saldırıya uğrayıp uğramadığını ya da V3 sürümünün yazarının kendisinin kötü niyetli bir davranışta bulunup bulunmadığını da belirlemek mümkün değildir.

Güvenlik uzmanları, kullanıcıların kurulu eklentilerin ID'lerini kontrol etmelerini, resmi sürüm olup olmadığını doğrulamak için öneriyor. Eğer kurulu etkilenen eklentiler tespit edilirse, derhal en son güvenlik sürümüne güncellenmeli veya doğrudan kaldırılmalıdır, böylece güvenlik riski azaltılmış olur.

Eklentinin Değiştirilmesini Nasıl Önleyebilirim?

Tarayıcı uzantıları her zaman siber güvenliğin zayıf noktası olmuştur. Kullanıcıların eklentilerin değiştirilmesini veya kötü niyetli eklentilerin indirilmesini önlemek için kurulum, kullanım ve yönetim açısından güvenlik önlemleri almaları gerekmektedir.

1. Sadece resmi kanallardan eklenti indirin

   • Öncelikle Chrome resmi mağazasını kullanın, internetteki üçüncü taraf indirme bağlantılarına güvenmeyin.
   • Doğrulanmamış "kırılmış" eklentilerin kullanılmasından kaçının, birçok değiştirilmiş eklenti arka kapılarla eklenmiş olabilir.

2. Eklentilerin izin taleplerine dikkat edin

   • İzinleri dikkatlice verin, bazı eklentiler gereksiz izinler isteyebilir, örneğin tarayıcı geçmişine, panoya erişim gibi.
   • Eklentinin hassas bilgileri okumasını istemesi durumunda dikkatli olun.

3. Yüklenmiş eklentileri düzenli olarak kontrol edin

   • Chrome adres çubuğuna chrome://extensions/ yazın, tüm yüklü uzantıları görüntüleyin.
   • Eklentinin en son güncellenme zamanını takip edin, eğer eklenti uzun süre güncellenmemişse ve aniden yeni bir sürüm yayınlanıyorsa, değiştirilebileceği konusunda dikkatli olun.
   • Eklentinin geliştirici bilgilerini düzenli olarak kontrol edin, eğer eklenti geliştiricisi değişirse veya yetkilerde bir değişiklik olursa dikkatli olun.

4. Fon akışını izleme aracını kullanma

   • Eğer özel anahtarın sızdırıldığından şüpheleniyorsanız, profesyonel araçlar kullanarak zincir üzerindeki işlemleri izleyebilir ve fon akışını zamanında öğrenebilirsiniz.

Proje sahipleri için, eklenti geliştiricileri ve bakımcıları olarak, kötü niyetli değişiklikler, tedarik zinciri saldırıları, OAuth suistimalleri gibi riskleri önlemek için daha sıkı güvenlik önlemleri almalıdır.

1. OAuth Erişim Kontrolü

   • Yetki kapsamını kısıtlayın, OAuth günlüklerini izleyin. Eğer eklenti kimlik doğrulama için OAuth kullanması gerekiyorsa, mümkünse kısa süreli jeton + yenileme jetonu mekanizmasını kullanın, yüksek yetkili Token'ları uzun süreli depolamaktan kaçının.

2. Chrome Web Store hesabının güvenliğini artırma

   • Chrome Web Store, eklentilerin tek resmi dağıtım kanalıdır. Bir geliştirici hesabı ele geçirildiğinde, saldırgan eklentiyi değiştirebilir ve tüm kullanıcı cihazlarına gönderebilir. Bu nedenle, hesap güvenliğini artırmak gereklidir; örneğin, 2FA açmak ve en az yetki yönetimi kullanmak.

3. Periyodik Denetim

   • Eklenti kodunun bütünlüğü, proje sahiplerinin sahteciliğe karşı koruma sağlamak için kritik öneme sahiptir, düzenli güvenlik denetimleri yapılması önerilir.

4. Eklenti İzleme

   • Proje ekibi yalnızca yayımlanan yeni sürümün güvenliğini sağlamakla kalmamalı, aynı zamanda eklentinin ele geçirilip geçirilmediğini de gerçek zamanlı olarak izlemelidir. Sorun tespit edildiğinde, kötü niyetli sürüm hemen kaldırılmalı, güvenlik duyurusu yayımlanmalı ve kullanıcılar enfekte olan sürümü kaldırmaları için bilgilendirilmelidir.

Kötü niyetli kod yerleştirilmiş eklentiler nasıl işlenir?

Eğer bir eklentinin kötü niyetli kodla enfekte olduğu tespit edilirse veya eklentinin risk taşıdığına dair bir şüphe varsa, kullanıcılara aşağıdaki önlemleri almaları önerilir:

1. Eklentiyi hemen kaldır

   • Chrome uzantı yönetim sayfasına girin, etkilenen eklentiyi bulup kaldırın.
   • Eklenti verilerini tamamen silin, böylece kalan kötü amaçlı kodun çalışmaya devam etmesini engelleyin.

2. Sızdırılabilecek hassas bilgileri değiştirin

   • Tüm tarayıcıda kayıtlı parolaları değiştirin, özellikle kripto para borsaları ve banka hesapları ile ilgili parolaları.
   • Yeni bir cüzdan oluşturun ve varlıkları güvenli bir şekilde transfer edin (eğer eklenti kripto cüzdana eriştiyse).
   • API Anahtarının sızdırılıp sızdırılmadığını kontrol edin ve derhal eski API Anahtarını iptal edin, yeni bir anahtar talep edin.

3. Sistemi tarayın, arka kapı veya kötü amaçlı yazılım olup olmadığını kontrol edin.

   • Antivirüs yazılımı veya kötü amaçlı yazılım araçları çalıştırın.
   • Hosts dosyasını kontrol edin, kötü niyetli sunucu adreslerine değiştirilmediğinden emin olun.
   • Tarayıcının varsayılan arama motorunu ve ana sayfasını kontrol edin, bazı kötü niyetli eklentiler bu ayarları değiştirebilir.

4. Hesabın olağan dışı bir etkinlik olup olmadığını izleyin

   • Borsa ve banka hesaplarının giriş geçmişini kontrol edin, eğer anormal IP girişleri tespit ederseniz, hemen şifreyi değiştirin ve 2FA'yı etkinleştirin.
   • Kripto cüzdanın işlem kayıtlarını kontrol edin, anormal transfer olup olmadığını doğrulayın.
   • Sosyal medya hesaplarının çalınıp çalınmadığını kontrol edin, eğer anormal özel mesajlar veya gönderiler varsa, hemen şifreyi değiştirmelisiniz.

5. Resmi makamlara geri bildirimde bulunun, daha fazla kullanıcının mağdur olmasını önleyin.

   • Eklentinin değiştirilmesi durumunda, orijinal geliştirme ekibiyle iletişime geçebilir veya Chrome resmi yetkililerine bildirimde bulunabilirsiniz.
   • Güvenlik ekibiyle iletişime geçebilir, risk uyarısı yayınlayabilir ve daha fazla kullanıcıyı güvenliğe dikkat etmeye yönlendirebilirsiniz.

Tarayıcı eklentileri kullanıcı deneyimini artırsa da, aynı zamanda hacker saldırıları için bir zayıf nokta haline gelebilir ve veri sızıntısı ile varlık kaybı riski getirebilir. Bu nedenle, kullanıcılar kolaylığın tadını çıkarırken aynı zamanda dikkatli olmalı ve iyi güvenlik alışkanlıkları geliştirmelidir; örneğin, eklentileri dikkatli bir şekilde yükleyip yönetmek, izinleri düzenli olarak kontrol etmek, şüpheli eklentileri zamanında güncellemek veya kaldırmak gibi. Aynı zamanda, geliştiriciler ve platform sahipleri de güvenlik önlemlerini güçlendirmeli, eklentilerin güvenliğini ve uyumluluğunu sağlamalıdır. Sadece kullanıcılar, geliştiriciler ve platformlar birlikte çalışarak güvenlik bilincini artırıp etkili koruma önlemleri uyguladıklarında, gerçekten riski azaltabilir ve veri ile varlıkların güvenliğini sağlayabilirler.