تم ربط أكثر من 100 ملحق لمتصفح Chrome بحملة مترامية الأطراف حصدت بيانات الهوية، وفتحت سلوك المتصفح على غرار الباب الخلفي، وفي إحدى الحالات سحبت بيانات جلسة Telegram Web المباشرة. وربط الباحثون 108 وظائف إضافية بنفس شبكة التحكم، مع تسجيل حوالي 20 ألف عملية تثبيت عبر سوق Chrome الإلكتروني عندما تم نشر النتائج.
ما يجعل هذا الضربة أكثر صعوبة هو النطاق. ظهرت الإضافات كأدوات Telegram، وألعاب القمار وKeno، وأدوات الترجمة المساعدة، ومساعدي YouTube وTikTok، وأدوات الصفحة الأساسية، مما ساعد العملية على الاندماج مع نوع الأشياء التي يقوم الأشخاص بتثبيتها دون الكثير من التفكير. انظر القائمة الكاملة هنا.
وقال الباحثون إن الامتدادات كانت لا تزال موجودة عندما ظهر التقرير، وتم بالفعل تقديم طلبات الإزالة. وهذا يمنح هذه القصة ميزة عملية للغاية لمستخدمي Chrome الذين لم يتحققوا من الوظائف الإضافية الخاصة بهم منذ فترة.
لم يكن أسوأ السلوك هو نفسه
ولم يقتصر الضرر على خدعة واحدة. ووجد البحث أن 54 امتدادًا جمعت تفاصيل هوية حساب Google بعد أن نقر المستخدم على زر تسجيل الدخول، بينما قامت إحدى الإضافات التي تركز على Telegram بتصفية بيانات جلسة Telegram Web النشطة كل 15 ثانية. وتضمن 45 برنامجًا آخر روتينًا يمكنه فتح عناوين URL عشوائية عند بدء تشغيل Chrome، حتى لو لم يفتح المستخدم الامتداد في ذلك اليوم.
قامت الوظائف الإضافية الأخرى بتجريد الحماية الأمنية من مواقع مثل Telegram وYouTube وTikTok قبل إدخال التراكبات أو الإعلانات أو البرامج النصية في الصفحات. تقوم إحدى أدوات الترجمة أيضًا بتوجيه النص المقدم من خلال خادم المشغل، مما يحول مساعدًا بسيطًا إلى خطر مراقبة.
لماذا يجب أن يقلق هذا الأمر مستخدمي Chrome العاديين؟
المشكلة الأكبر هي كيف يبدو الطعم عاديًا. لم تكن هذه مجرد أدوات غامضة لمستخدمي الطاقة. تضمنت القائمة الألعاب، ومساعدي المتصفح، وعملاء الشريط الجانبي، ووظائف الترجمة الإضافية، وهو بالضبط نوع الإضافات التي يحصل عليها الأشخاص لأن صفحة المتجر تبدو مصقولة والميزة تبدو مفيدة.
تميل الإضافات أيضًا إلى التلاشي في الخلفية بمجرد تثبيتها. في هذه الحالة، قام الباحثون بتتبع النشاط من تلك المجموعة المختلطة من الأدوات إلى نفس البنية التحتية الخلفية، والتي حولت كومة من الوظائف الإضافية ذات المظهر العشوائي إلى عملية واحدة بعدة طرق لجمع البيانات أو تغيير تجربة التصفح.
تحقق من ملحقاتك الآن
الخطوة التالية الأكثر ذكاءً هي مراجعة ما تم تثبيته في Chrome، وخاصة أي شيء مرتبط بـ Telegram، أو الألعاب خفيفة الوزن، أو الترجمة، أو أدوات الشريط الجانبي المساعدة التي تطلب الوصول إلى تسجيل الدخول دون سبب واضح. يسرد البحث 108 امتدادات بالاسم والمعرف، ويوصي بإزالة أي تطابق على الفور.
يبدو أن الحالة الأكثر خطورة هي امتداد Telegram الذي قام بسحب بيانات جلسة الويب بشكل متكرر. يجب على أي شخص استخدمه أثناء تسجيل الدخول إلى Telegram Web إنهاء جلسات Telegram الأخرى من تطبيق الهاتف المحمول، ويجب على المستخدمين الذين سجلوا الدخول إلى أحد الإضافات المرتبطة بـ Google مراجعة الوصول إلى الحساب وإلغاء أي شيء غير مألوف.