התוסף יכול לשמש כדי לגשת לכל דף אינטרנט שיש לך כרגע פתוח בדפדפן שלך.
פוסט זה עודכן. הוא פורסם במקור ב-1 ביוני 2023.
חוקר אבטחה עצמאי מצא קוד זדוני ב-18 הרחבות של Chrome הזמינות כעת בחנות האינטרנט של Chrome. יחד, להרחבות יש למעלה מ-57 מיליון משתמשים פעילים. שֶׁלָה עוד הוכחה לכך שתוספי Chrome צריכים להעריך בעין ביקורתית.
תוספי Chrome הם אפליקציות שנבנו על גבי Google Chrome המאפשרות לך להוסיף תכונות נוספות לדפדפן שלך. המשימות שהתכונה הניתנת להתאמה אישית זו יכולה לעשות הן רחבות טווח, אבל כמה תוספים פופולריים יכולים לעשות זאת מלא אוטומטית את הסיסמה שלך, חסום פרסומות, אפשר גישה בלחיצה אחת לרשימת המשימות שלך, או לשנות איך נראה אתר מדיה חברתית. למרבה הצער, מכיוון שתוספי Chrome הם כל כך חזקים ויכולים להיות בעלי שליטה רבה על חווית הגלישה שלך, הם הם יעד פופולרי עבור האקרים ועוד שחקנים גרועים.
מוקדם יותר החודש, חוקר אבטחה עצמאי ולדימיר פלנט גילה קוד בסיומת דפדפן בשם PDF Toolbox שמאפשר לה להחדיר קוד JavaScript זדוני לכל אתר שאתה מבקר בו. התוסף מתיימר להיות מעבד PDF בסיסי שיכול לעשות דברים כמו להמיר מסמכים אחרים ל-PDF, למזג שני קובצי PDF לאחד ולהוריד קובצי PDF מכרטיסיות פתוחות.
זו התכונה האחרונה שמשאירה את ארגז הכלים של PDF פתוח לכוונות רעות. גוגל דורשת ממפתחי תוספים להשתמש רק בהרשאות המינימליות הנדרשות. על מנת להוריד קובצי PDF מכרטיסיות שאינן פעילות כעת, ארגז הכלים של PDF חייב להיות מסוגל לגשת לכל דף אינטרנט שיש לך כרגע פתוח. ללא תכונה זו, הוא לא יוכל לגשת באופן פסאודו-לגיטימי לדפדפן שלך באותה מידה.
בעוד שלכאורה ארגז הכלים של PDF יכול לבצע את כל משימות ה-PDF שהוא טוען שהוא מסוגל לעשות, הוא גם מוריד ומריץ קובץ JavaScript מאתר חיצוני שיכול מכיל קוד לעשות כמעט כל דבר, כולל ללכוד את כל מה שאתה מקליד בדפדפן שלך, להפנות אותך לאתרים מזויפים ולהשתלט על מה שאתה רואה בדפדפן אינטרנט. על ידי הפיכת הקוד הזדוני לקריאת API לגיטימית, ערפל אותו כך שקשה לעקוב אחריו ועיכוב הקריאה הזדונית במשך 24 שעות, PDF Toolbox הצליח להימנע מהסרה מחנות האינטרנט של Chrome על ידי Google מאז עודכן לאחרונה בינואר 2022. (הוא עדיין זמין שם בזמן כתיבת שורות אלו, למרות שפאלנט הגיש דוח על הקוד הזדוני שלו.)
לפאלנט לא הייתה דרך לאשר מה עשה הקוד הזדוני בארגז הכלים של PDF כשגילה אותו לראשונה. אולם אתמול, הוא חשף 17 הרחבות לדפדפן נוספות המשתמשות באותו טריק כדי להוריד ולהפעיל קובץ JavaScript. אלה כוללים Autoskip for Youtube, Crystal Ad Block, Brisk VPN, Clipboard Helper, Maxi Refresher, תרגום מהיר, Easyview Reader תצוגה, זום פלוס, הורדת תמונות בסיס, סמנים מהנים בלחיצה, מחליף צבעים מקסימלי עבור YouTube, מצב Readl Reader, הורדת תמונה center, Font Customizer, Easy Undo Closed Tabs, OneCleaner וכפתור Repeat, אם כי סביר להניח שיש נגועים אחרים הרחבות. אלו היו רק אלה שפאלנט מצא במדגם של כ-1,000 הרחבות.
בנוסף למציאת הרחבות מושפעות יותר, Palant הצליח לאשר מה הקוד הזדוני עשה (או לפחות עשה בעבר). התוספים הפנו את חיפושי המשתמשים בגוגל למנועי חיפוש של צד שלישי, ככל הנראה תמורת עמלת שותפים קטנה. על ידי הדבקה של מיליוני משתמשים, המפתחים יכולים לגרוף כמות מסודרת של רווח.
למרבה הצער, הזרקת קוד היא הזרקת קוד. רק בגלל שה-JavaScript הזדוני הפנה בצורה די בלתי מזיקה חיפושים של גוגל למנועי חיפוש חלופיים בעבר, לא אומר שהוא עושה זאת היום. "יש הרבה יותר דברים מסוכנים שאפשר לעשות עם הכוח להחדיר קוד JavaScript שרירותי לכל אתר ואתר", כותב פאלנט.
ואיזה דברים מסוכנים הם? ובכן, ההרחבות יכולות להיות איסוף נתוני דפדפן, הוספת מודעות נוספות לכל דף אינטרנט שמישהו מבקר, או אפילו הקלטת אישורי בנק מקוון ומספרי כרטיסי אשראי. JavaScript זדוני הפועל ללא סימון בדפדפן האינטרנט שלך יכול להיות חזק להפליא.
אם אחת מהתוספים המושפעים מותקנת במחשב שלך, אתה צריך להסיר אותו עכשיו. כמו כן, מומלץ לבצע ביקורת מהירה של כל ההרחבות האחרות שהתקנת כדי לוודא שאתה עדיין משתמש בהן ושכולם נראים לגיטימיים. אם לא, כדאי להסיר גם אותם.
אחרת, התייחס לזה כתזכורת להיות תמיד ערני לתוכנות זדוניות פוטנציאליות. לטיפים נוספים כיצד להילחם בזה, בדוק את שלנו מדריך להסרת תוכנות זדוניות מהמחשב שלך.
עדכון ב-2 ביוני 2023. דובר גוגל אמר: "לחנות האינטרנט של Chrome יש מדיניות כדי לשמור על בטיחות המשתמשים שכל המפתחים חייבים לציית לה. אנו מתייחסים ברצינות לתביעות אבטחה ופרטיות כנגד תוספים, וכאשר אנו מוצאים תוספים המפרים את המדיניות שלנו, אנו נוקטים בפעולה המתאימה. התוספים המדווחים הוסרו מחנות האינטרנט של Chrome."
