افزونه های مرورگر که کاربران را پنهانی در کروم و اج ردیابی کردند

گزارش Koi Security نشان می‌دهد افزونه‌هایی که به‌ظاهر مفید بودند، از ۲۰۱۸ تا ۲۰۲۵ به‌صورت پنهانی میلیون‌ها کاربر کروم و اج را ردیابی کرده‌اند. این مقاله جزئیات فنی، داده‌های جمع‌آوری‌شده و گام‌های عملی برای حذف و محافظت را توضیح می‌دهد.

6 نظرات
افزونه های مرورگر که کاربران را پنهانی در کروم و اج ردیابی کردند

10 دقیقه

برای هفت سال، افزونه‌هایی که ظاهراً مفید به نظر می‌رسیدند به‌طور پنهانی میلیون‌ها کاربر را در مرورگرهای کروم و مایکروسافت اج ردیابی کردند. پژوهشگران امنیتی می‌گویند یک توسعه‌دهنده این افزونه‌های قابل‌اعتماد را به ابزارهایی برای استخراج داده تبدیل کرده بود؛ مجموعه‌ای از تاریخچه مرور، لینک‌های کلیک‌شده و اطلاعات تعاملی کاربران جمع‌آوری شد.

چگونه ابزارهای مفید به ابزارهای جاسوسی تبدیل شدند

بر پایهٔ گزارش تازهٔ Koi Security، کاربری با نام ShadyPanda از سال 2018 چندین افزونه با ظاهر بی‌خطر منتشر کرد. در ابتدا این افزونه‌ها مانند پلاگین‌های یوتیلیتی معمول رفتار می‌کردند و حتی برخی از آن‌ها تائیدیه‌هایی دریافت کردند که به کاربران اطمینان می‌داد. اما با افزایش نصب‌ها، به‌روزرسانی‌های بعدی کدهای مخربی را وارد کردند که عملکرد این ابزارها را به نرم‌افزار جاسوسی تبدیل نمود.

افزونه‌های آسیب‌دیده خود را به‌عنوان ابزارهای مدیریت مرورگر معرفی کرده بودند و در مجموع بیش از 4.3 میلیون نصب در فروشگاه‌های کروم و اج داشتند. نمونه‌های قابل‌توجه شامل Clean Master بود که بیش از 200 هزار نصب تنها برای خودش ثبت کرد و WeTab که سهم بزرگی از نصب‌ها را بین دو فروشگاه ایجاد کرد.

این پرونده نمونه‌ای از چگونگی تغییر ماهیت یک افزونه از «مفید» به «مخرب» را نشان می‌دهد و بر اهمیت بررسی مداوم مجوزها و رفتار افزونه‌ها تأکید می‌کند. در ادامه جزئیات فنی، نشانه‌ها و راهکارهای محافظتی برای کاربران عادی و مدیران آی‌تی مطرح می‌شود.

چه داده‌هایی جمع‌آوری می‌شد

پژوهشگران دریافتند این افزونه‌ها به‌صورت مداوم مجموعه‌ای وسیع از سیگنال‌ها را جمع‌آوری می‌کردند: آدرس‌های URL بازدیدشده، تاریخچهٔ جستجو، و اطلاعات دقیق تعاملی مثل کلیک‌های ماوس، حرکت کاربر در صفحات و نحوهٔ پیمایش با استفاده از اطلاعات HTTP referrer. این داده‌ها به‌صورت مستمر به سرورهای راه دور ناشناس ارسال می‌شدند و ردیابی دائمی کاربران را بدون اطلاع آن‌ها ممکن می‌ساختند.

جزئیات فنی نحوهٔ استخراج داده

به‌صورت فنی، افزونه‌ها معمولاً از content scripts برای دسترسی به محتوای صفحات و APIهای مرورگر مانند chrome.tabs، chrome.history و webRequest استفاده می‌کنند. در این مورد خاص، افزونه‌ها از ترکیبی از اسکریپت‌های محتوا، Background scripts و درخواست‌های شبکه (fetch/XHR) برای گردآوری و ارسال داده‌ها استفاده کرده‌اند. موارد زیر از جمله تکنیک‌های مشاهده‌شده بود:

  • استفاده از content script برای خواندن DOM و استخراج لینک‌ها و رفتار کاربر.
  • گزارش رویدادهای کاربری (کلیک، حرکت ماوس، زمان ماندن در صفحه) به سرورهای خارجی.
  • ارسال دوره‌ای داده‌ها به سرورهای کنترل و فرمان (C2) با استفاده از درخواست‌های HTTP/HTTPS پنهان‌شده یا رمزگذاری‌شده.
  • استفاده از تاریخچهٔ مرور و referrerها برای بازسازی مسیر کاربر بین سایت‌ها و ایجاد پروفایل رفتاری.

این ترکیب امکان ایجاد شناسه‌های رفتاری (behavioral fingerprints) را فراهم می‌کرد که می‌توانست کاربران را در دستگاه‌های مختلف یا در بازهٔ زمانی طولانی پیگیری کند.

چرا این نوع داده‌برداری خطرناک است

جمع‌آوری URLها، تاریخچهٔ جستجو و داده‌های دقیق تعامل کاربر به مهاجم اجازه می‌دهد نه‌تنها علایق و عادات مرور کاربر را بفهمد، بلکه اطلاعات حساس مانند ورود به سرویس‌های بانکی، ایمیل‌ها یا سایت‌های درمانی را هم از رفتار مرور استخراج کند. علاوه بر نقض حریم خصوصی، این داده‌ها در بازارهای تبلیغاتی یا در حملات هدفمند (spear-phishing) بسیار ارزشمندند.

نشانه‌ها و شواهد فنی

کاربران و مدیران امنیت می‌توانند چند علامت را به‌عنوان نشانهٔ حضور یک افزونهٔ مخرب جستجو کنند:

  1. افزایش ترافیک خروجی غیرمعمول از مرورگر به دامنه‌های ناشناس یا سرورهای خارجی.
  2. درخواست‌های شبکه‌ای به آدرس‌هایی که با فعالیت عادی افزونه مرتبط نیستند یا آدرس‌های کوتاه‌شده و نامشخص.
  3. مجوزهای گسترده در manifest.json افزونه مانند دسترسی کامل به تاریخچه (history)، تب‌ها (tabs) یا دسترسی به محتوای همهٔ صفحات (all_urls).
  4. رفتار غیرطبیعی مرورگر مثل کند شدن، باز شدن تب‌های ناخواسته یا تغییر در تنظیمات پیش‌فرض.

نمونه‌های فنی قابل بررسی

برای کاربران فنی‌تر، بررسی‌هایی که باید انجام شود شامل موارد زیر است:

  • چک کردن صفحهٔ مدیریت افزونه‌ها (chrome://extensions یا edge://extensions) و مشاهدهٔ مجوزها.
  • بررسی فایل manifest.json افزونه برای فیلدهای update_url یا host permissions مشکوک.
  • مانیتور ترافیک شبکه با ابزارهایی مثل Wireshark، Fiddler یا بررسی کنسول توسعه‌دهنده برای درخواست‌های XHR/Fetch.
  • بررسی اسکریپت‌های محتوا در نصب محلی افزونه و جستجوی کدهای رمزگذاری‌شده یا قطعاتی که داده‌ها را جمع‌آوری و ارسال می‌کنند.

اقدامات فوری که اکنون باید انجام دهید

گوگل و مایکروسافت اعلام کرده‌اند این افزونه‌های مخرب از فروشگاه‌های رسمی حذف شده‌اند، اما حذف از فروشگاه به‌معنای حذف خودکار از دستگاه‌های کاربران نیست. بنابراین لازم است خودتان دست‌به‌کار شوید. مراحل زیر را دنبال کنید تا ریسک را کاهش دهید:

گام‌های پایه برای همهٔ کاربران

  1. فهرست افزونه‌های نصب‌شده را بازبینی کنید و هر افزونهٔ غریبه یا قدیمی را حذف کنید. از مسیر chrome://extensions یا edge://extensions این کار را انجام دهید.
  2. مرورگر و سیستم‌عامل خود را به آخرین نسخه به‌روزرسانی کنید؛ نسخه‌های جدید حفاظت‌هایی دارند که افزونه‌های مخرب را شناسایی یا غیرفعال می‌کنند.
  3. پس از حذف افزونه‌های مشکوک، داده‌های همگام‌شده مرورگر را پاک کنید تا از ادامهٔ ردیابی از طریق داده‌های sync جلوگیری شود (Clear synced data).
  4. در صورت استفاده از همگام‌سازی حساب، از حساب خارج شده و دوباره وارد شوید تا توکن‌های فعلی تازه شوند.
  5. سیستم را با یک برنامهٔ امنیتی معتبر اسکن کنید و در صورت مشاهدهٔ فعالیت مشکوک، رمزعبور حساب‌های حساس را تغییر دهید.

گام‌های پیشرفته برای کاربران فنی و مدیران آی‌تی

برای کسانی که دسترسی مدیریتی دارند یا مهارت فنی بالاتری دارند، پیشنهادهای اضافی شامل موارد زیر است:

  • بازنشانی کامل مرورگر به تنظیمات کارخانه (Browser reset) در صورت مشاهدهٔ نشانه‌های نفوذ گسترده.
  • بررسی لاگ‌های شبکه و سیستمی برای شناسایی زمان و الگوی ارسال داده‌ها؛ این کار می‌تواند به تعیین دامنه نفوذ و شناسایی سرورهای مقصد کمک کند.
  • برای سازمان‌ها، اعمال سیاست‌های گروهی (Group Policy) یا تنظیمات مدیریت افزونه‌ها (enterprise policies) برای محدود کردن نصب افزونه‌ها به لیست‌های سفید از توسعه‌دهندگان مورد اعتماد.
  • بررسی و بازنگری سیاست‌های اجازه‌ها برای افزونه‌ها و اطلاع‌رسانی یا آموزش کارمندان دربارهٔ خطرات نصب افزونه‌های غیرمعتبر.

پاکسازی همگام‌سازی و دستگاه‌های مرتبط

یک نکتهٔ مهم این است که اگر از قابلیت همگام‌سازی مرورگر بین دستگاه‌ها استفاده کرده‌اید، داده‌ها و نصب افزونه ممکن است به سایر دستگاه‌ها نیز منتقل شده باشد. بعد از حذف محلی افزونه‌ها، از بخش تنظیمات حساب مرورگر گزینهٔ پاکسازی داده‌های همگام‌شده را انتخاب کنید و در صورت لزوم سایر دستگاه‌ها را هم بررسی و پاک کنید.

چگونه جلوی وقوع مجدد را بگیریم

این رخداد یادآور این نکته است که حتی افزونه‌هایی که به‌ظاهر قابل‌اعتمادند ممکن است با گذر زمان به تهدید تبدیل شوند. برای کاهش احتمال آسیب‌های آینده، موارد زیر را در نظر داشته باشید:

  • مجوزها را به‌صورت دوره‌ای بررسی کنید و افزونه‌هایی که مجوزهای بیش از نیاز دارند را حذف کنید.
  • نصب افزونه را محدود به توسعه‌دهندگان شناخته‌شده و منابع رسمی کنید. حتی در فروشگاه‌های رسمی هم احتیاط لازم است، اما اعتبار توسعه‌دهنده و بازخورد کاربران می‌تواند کمک‌کننده باشد.
  • از افزونه‌هائی که به دسترسی گسترده به همهٔ سایت‌ها نیاز دارند پرهیز کنید یا تنها زمانی نصب کنید که واقعا لازم است.
  • در صورت امکان از قابلیت‌های بومی مرورگر یا راه‌حل‌های تحت وب معتبر برای عملکردهای مورد نیاز استفاده کنید تا وابستگی به افزونه‌های جانبی کاهش یابد.

نقش فروشگاه‌های افزونه و توسعه‌دهندگان

به‌عنوان نکته‌ای تکمیلی، فروشگاه‌های افزونه باید فرایندهای بازبینی کد و پایش رفتار افزونه‌ها را تقویت کنند؛ روش‌هایی مانند اسکن استاتیک کد، پایش تراکنش‌های شبکه و بررسی به‌روزرسانی‌های غیرمعمول می‌تواند از انتشار افزونه‌های مخرب جلوگیری نماید. توسعه‌دهندگان نیز باید شفافیت بیشتری دربارهٔ مجوزها و اهداف جمع‌آوری داده‌ها ارائه دهند.

تحلیل ریسک و پیامدهای حریم خصوصی

از منظر حریم خصوصی، افشای گستردهٔ تاریخچهٔ مرور و تعاملات می‌تواند پیامدهای مهمی داشته باشد: از افشای علایق شخصی و وضعیت سلامتی تا خطرات مالی و حملات هدفمند. سازمان‌ها نیز ممکن است تحت اثرات قانونی قرار گیرند اگر داده‌های مشتریان به‌طور غیرمجاز جمع‌آوری یا منتقل شود. بنابراین ریسک‌سنجی، اطلاع‌رسانی شفاف به کاربران و پیاده‌سازی کنترل‌های دسترسی مناسب اموری ضروری‌اند.

چگونه داده‌ها می‌توانند مورد سوءاستفاده قرار گیرند

داده‌های گردآوری‌شده می‌توانند در موارد زیر مورد استفاده یا سوءاستفاده قرار گیرند:

  • فروش داده‌ها به شبکه‌های تبلیغاتی یا کارگزاری‌های داده (data brokers).
  • ایجاد پروفایل‌های دقیق رفتاری برای انجام تبلیغات بسیار هدفمند یا دستکاری اطلاعات.
  • استفاده در حملات فیشینگ بسیار هدفمند از طریق پیام‌هایی که از جزئیات واقعی مرور کاربر بهره می‌برند.
  • ترکیب با سایر داده‌های لو رفته برای شناسایی هویت واقعی کاربران یا نفوذ به سرویس‌های حساس.

جمع‌بندی و توصیه‌های نهایی

این حادثه یادآور ضرورت پایش مداوم افزونه‌های مرورگر و مدیریت درست مجوزها است. رفتار ناشیانه یا اعتماد صرف به نشانه‌های ظاهری تائید از جانب فروشگاه ممکن است کافی نباشد. هر کاربر باید به‌صورت فعال افزونه‌های خود را مدیریت کند، از منابع معتبر استفاده نماید و در صورت مشاهدهٔ هرگونه رفتار مشکوک سریعاً اقدام به حذف و گزارش کند.

برای کاربران عادی: بررسی کنید، حذف کنید، رمزها را در صورت لزوم تغییر دهید و سیستم را اسکن کنید. برای کاربران فنی و مدیران: مانیتور شبکه و لاگ‌ها، پیاده‌سازی سیاست‌های نصب افزونه و آموزش کاربران اهمیت دارد. در نهایت، ترکیب اقدامات فردی و سازمانی بهترین راهکار برای کاهش خطر ناشی از افزونه‌های مخرب است.

در ادامه چند نکتهٔ خلاصه و عملی برای پیگیری آمده است: بررسی مجوزها، حذف افزونه‌های غریبه، پاکسازی داده‌های همگام‌شده، اسکن سیستم با آنتی‌ویروس معتبر، تغییر رمزهای حساس و اطلاع‌رسانی به سایر کاربران و همکاران. رعایت این نکات به‌طور چشمگیری خطر استخراج اطلاعات و ردیابی را کاهش می‌دهد.

منبع: smarti

ارسال نظر

نظرات

پمپزون

قضیه واقعی و نگران‌کننده ست، ولی گزارش شایدم کمی دراماتیک نوشتم، مثلا اعداد چک نشده؟ با این حال احتیاط بد نیست.

پاسخ
دانیکس

خلاصه: مرورگر رو مرتب چک کنین، افزونه های اضافه رو حذف کنین، و سینک رو هم پاک کنین. ساده ولی مهم

پاسخ
لابکور

من تو شرکت دیدم، افزونه‌ای که اول مفید بود بعدا دیتاسنجی می‌کرد، کلی سروکله زدیم تا پاکش کنیم. کار سختیه برای IT

پاسخ
توربو

واقعاً همه اینا از فروشگاه رسمی میان؟ یعنی گوگل مایکروسافت چرا دیر واکنش دادن؟ شایدم دارن چیزو لو میدن؟

پاسخ
رضاام

معقولِ، ولی باید کاربرا خودآگاه‌تر باشن. مجوزهاو هر چند وقت چک کنین

پاسخ
دیتاپالس

وای، این واقعاً ترسناکه! نصبِ یه افزونه‌ی معمولی و بعد از آپدیت تبدیل به جاسوس… فک نمیکردم انقدر گسترده باشه.

پاسخ

مطالب مرتبط