Popüler Chrome Uzantıları Kişisel Verileri Tehlikeye Atıyor!

Symantec'in raporuna göre popüler Chrome uzantıları kullanıcı verilerini şifrelenmemiş HTTP ile ileterek büyük güvenlik riski oluşturuyor. API anahtarlarının kodlara gömülmesi de siber saldırganlar için açık kapı bırakıyor.

Symantec’in son raporuna göre, milyonlarca kez indirilen popüler Chrome uzantıları kullanıcı verilerini şifrelenmemiş HTTP üzerinden ileterek büyük bir güvenlik açığı yaratıyor. Uzantıların kodlarında API anahtarlarının yer alması, kullanıcı bilgilerini saniyeler içinde ifşa edebiliyor.

Chrome Uzantılarında Şifrelenmemiş Veri Tehlikesi

Milyonlarca kullanıcıya güvenli gezinme, performans veya gelişmiş özellikler sunmayı vadeden popüler Chrome uzantılarının, Symantec’in son analizine göre büyük bir kısmı verileri şifrelenmemiş HTTP üzerinden iletiyor ve kodlarına API anahtarları ile erişim belirteçleri gömüyor. Bu durum, özellikle halka açık Wi-Fi ağlarında “araya girme” (MITM) saldırılarına kapı aralıyor.

Hangi Uzantılar Risk Oluşturuyor?

Thehackernews.com’da yer alan habere göre Browsec VPN, Microsoft Editor, Trust Wallet ve SEMRush Rank gibi milyonlarca indirmeye sahip uzantılar; cihaz kimliği, işletim sistemi bilgisi ve tarayıcı dili gibi verileri herhangi bir şifreleme olmadan sunuculara gönderiyor.

Güvenlik araştırmacısı Yuanjing Guo, bu trafiğin yetkisiz kişilerce kolaylıkla dinlenebileceğini ve kullanıcılar adına sahte işlemler başlatılabileceğini belirtiyor.

Kodlara Gömülen API Anahtarları Ek Tehlike Yaratıyor

Symantec’in tespitlerine göre, bazı uzantılar Google Analytics 4, Microsoft Azure veya AWS S3 gibi hizmetlere doğrudan erişim sağlayan API anahtarlarını JavaScript dosyalarına kodlanmış biçimde barındırıyor. DualSafe Password Manager, şifre yöneticisi verilerini HTTPS yerine HTTP ile gönderirken; Equatio, ses tanıma için etkin bir Azure anahtarını açık biçimde paylaşıyor. Bu anahtarları ele geçiren saldırganlar, geliştiricilere maliyet yükleyebiliyor veya yasa dışı içerikleri depolamak için kaynakları suistimal edebiliyor.

Dış Kütüphaneler Aracılığıyla Kimlik Bilgisi Sızıntısı

InboxSDK gibi yaygın kullanılan dış kütüphaneler de en az 90 uzantıda kimlik bilgisi sızdırıyor. Böylece, uzantının kendisi güvenli görünse de kullanılan bileşenler aracılığıyla arka kapı bırakılmış olabiliyor.

Uzmanlardan Güvenlik Uyarısı

Güvenlik uzmanları, HTTP üzerinden veri gönderen uzantılardan kaçınılmasını, API anahtarlarının sadece güvenli sunucularda saklanmasını ve bu bilgilerin düzenli olarak yenilenmesini tavsiye ediyor. Ayrıca kullanıcıların, yüklü uzantılarını gözden geçirmesi ve güvenilirliği şüpheli eklentileri kaldırması öneriliyor.