סייבר ואבטחת אתרים

סכנה בדפדפן: תוסף כרום פופולרי עם 1.6 מיליון משתמשים הוסר לאחר שנתגלה בו קוד לגניבת מידע

תוסף הדפדפן הפופולרי ModHeader, ששימש מיליוני מפתחים ואנשי בדיקות ברחבי העולם, הוסר לצמיתות מחנויות התוספים של גוגל כרום ומיקרוסופט אדג'.

Google Password Manager מנהל הסיסמאות. צילום: גוגל

זאת לאחר שחוקרי אבטחה גילו, כי הגרסה הרשמית והחתומה של התוסף הכילה קוד סמוי שתפקידו לאסוף, להצפין ולשלוח את היסטוריית הגלישה של המשתמשים לשרתים חיצוניים.

התוסף החזיק בלמעלה מ-1.6 מיליון התקנות פעילות. בשל ייעודו המקורי, שינוי והתאמה של כותרות בקשות HTTP (HTTP Headers) – הוא החזיק מראש בהרשאות מערכת נרחבות ביותר, מה שאיפשר לקוד הזדוני לקבל גישה מלאה לכל תעבורת הרשת והאתרים שבהם ביקרו המשתמשים.

המנגנון החשאי: הצפנה מקומית והכנה לשיגור

חוקרי אבטחה שבחנו את גרסה 7.0.18 של התוסף גילו צינור איסוף נתונים (Data Pipeline) מתוחכם שהוטמע בתוך ה-Service Worker של התוסף הפועל ברקע.

המנגנון פעל בצורה הבאה:

  1. חילוץ והצפנה: הקוד חילץ את שמות המתחם (Domains) מתוך הכתובות שבהן ביקר המשתמש, הצפין אותם מקומית באמצעות מפתח AES-GCM קשיח (Hardcoded), ושמר את המידע המוצפן בבסיס הנתונים המקומי של הדפדפן (IndexedDB).
  2. מנגנון שליחה מתוזמן: המערכת תוכננה לצבור עד 1,000 שמות מתחם ייחודיים ולאחר מכן לשגר אותם באמצעות בקשת POST לכתובת חיצונית השייכת לדומיין stanfordstudies.com (שאינו קשור לאוניברסיטת סטנפורד).
  3. טשטוש עקבות: כדי להקשות על גילוי פורנזי, מנגנון השליחה נבנה כך שהוא מוחק לחלוטין את המידע שנשמר על המכשיר המקומי מיד לאחר שהשרת החיצוני מאשר כי הקובץ המוצפן התקבל בהצלחה.

בדיקה מעמיקה העלתה כי בגרסה הספציפית שנבחנה, מנגנון הזרמת המידע היה חסום זמנית על ידי רשימת היתרים (Allow-list) ריקה, ולכן לא פעל בפועל על המכשירים. עם זאת, החוקרים מזהירים כי התשתית המלאה לאיסוף, הצפנה, תזמון ושליחה של המידע כבר הייתה מוכנה לחלוטין בתוך התוסף, וכל שנדרש כדי להפעיל אותה מרחוק היה עדכון גרסה שגרתי ופשוט שלא היה דורש מהמשתמשים לאשר הרשאות חדשות.

תגובת ענקיות הטכנולוגיה והנחיות דחופות למשתמשים

עם קבלת הדיווחים, מיקרוסופט הסירה את התוסף מחנות ה-Edge כבר ב-3 ביולי, וגוגל פעלה במהירות לאחר מכן, הסירה את התוסף מחנות הכרום ואף סימנה אותו רשמית כתוכנה זדונית (Malware).

עבור ארגונים ומפתחים שהשתמשו בתוסף באופן קבוע, מומחי אבטחה מפרסמים מספר צעדי מניעה דחופים:

  • הסרה מיידית וחסימה: יש להסיר את התוסף (מזהה: idgpnmonknjnojddfkpgkljpfnnfcklj) מכל דפדפני הארגון, ולחסום ברמת הרשת תקשורת אל הדומיינים stanfordstudies.com ו-extensions-hub.com.
  • החלפת מפתחות אבטחה וטוקנים: משתמשים שהשתמשו בתוסף לצורך בדיקות API נדרשים לבצע רוטציה (החלפה) מיידית של כל הערכים הרגישים שהוזנו אי פעם בתוך כותרות התוסף, כולל מפתחות API, אסימוני הרשאה (Authorization Tokens) וקובצי עוגיות (Session Cookies).
  • בחינת שרשרת האספקה: מומחים מדגישים כי האירוע ממחיש פעם נוספת כשל מובנה באבטחת חנויות האפליקציות – חתימה דיגיטלית של גוגל מאשרת את מקור התוסף, אך אינה מבטיחה שעדכונים עתידיים שלו לא יכילו קוד פוגעני. מומלץ לנהל תוספים בעלי הרשאות גבוהות תחת פיקוח קפדני ורשימות היתרים ארגוניות בלבד.

הוסף תגובה על הנושא שקראת

Back to top button
בי שייר אנו משתמשים בעוגיות כדי להבטיח את תפקוד האתר ולשפר את חוויית המשתמש. אפשר לבחור אילו סוגי עוגיות להפעיל.
בחירת עוגיות


התקינו את תוסף הכרום לקריאה נוחה ישר מהדפדפן התקנה
לצפייה נוחה פתח באפליקציה
Close

חוסם פרסומות מופעל

כדי לעזור לנו בהוצאות האתר, עליך לבטל את חוסם הפרסומות באתר זה.