Giriş
Google ve Microsoft, yaklaşık 1.6 milyon kullanıcıya sahip olan popüler başlık düzenleme uzantısı olan ModHeaderı, araştırmacıların resmi mağaza versiyonunda gizli bir tarayıcı geçmişi toplayıcısı bulmasının ardından kaldırdı. Bu durum, kullanıcıların verilerinin güvenliği açısından son derece önemli bir tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
ModHeader’ın versiyonu 7.0.18 (uzantı ID’si: idgpnmonknjnojddfkpgkljpfnnfcklj) hala duyurulduğu gibi HTTP başlıklarını düzenliyor. Ancak, bu sürümde bulunan minify edilmiş arka planda, tarayıcı geçmişini toplamak için tasarlanmış başka bir sistem de bulunmaktaydı. İlk çalıştırmada, cihaz parmak izi oluşturuluyor ve sabit bir şifreleme anahtarı yükleniyor. Kullanıcı sayfaları gezerken, açılan her sayfanın alan adı alınıyor, şifreleniyor ve yerel olarak saklanıyor; en fazla 1000 farklı alan adı.
Günde bir kez, bir zamanlayıcı şifrelenmiş listeyi parmak izinizle birleştiriyor ve api.stanfordstudies[.]com adresine gönderiyor; ardından yerel kopyayı siliyor. Yükleme zamanları, kurulum başına farklılık gösteriyor, bu da uzantının toplayıcısının aktif olduğu durumda kullanıcıların her birinin aynı anda veri göndermesini engelliyor.
Etkilenen Sistemler
ModHeader, hem Chrome hem de Edge kullanıcılarını etkilemektedir. Bu uzantı, toplamda yaklaşık 1.6 milyon kullanıcıya sahipken, Chrome kullanıcı sayısı yaklaşık 900,000 ve Edge kullanıcı sayısı ise 700,000 olarak tahmin edilmektedir. Microsoft, 3 Temmuz’da Edge listesini kaldırırken, Google Chrome için bu işlemi bir hafta sonra, 10 Temmuz’da gerçekleştirdi.
Uyarılar ve Bilgi Güvenliği
Uzantının tasarımı, otomatik tarayıcılardan düşük risk olarak değerlendirilmiş ve bazıları 100 üzerinden 95 puan vermiştir. Ancak şifreli veriler nedeniyle, tarayıcılar yalnızca şifrelenmiş veriyi görmüştür. ModHeader kullanıcılarından gelen uyarılar, uzantının 2023 yılında arama sonuçlarına reklam katmaları nedeniyle başlamış ve ad-supported (reklam destekli) bir modele geçtiği iddia edilmiştir.
Üzerinde çalışılan kötü amaçlı kod, meşru bir kod tabanına entegre edilmiş ve güvenilir olarak sınıflandırılmıştır. Uzantının kendi web sitesi, kullanıcı verisi toplamadığını duyurmakta, ancak bu durum, entegre edilmiş tarayıcı geçmişi toplayıcısı ile çelişmektedir.
Çözüm ve Korunma
Eğer ModHeader uzantısını kullanıyorsanız, bunu Chrome ve Edge tarayıcılarınızdan hemen kaldırmalısınız; tarayıcınız zaten devre dışı bırakmış olabilir. Kaldırma işlemi, saklanan verilerini temizleyecektir fakat profil senkronizasyonu veya yönetilen uzantı politikası tarafından tekrar yüklenmediğinden emin olmalısınız. Eğer uzantıya gizli bilgiler, API anahtarları veya oturum çerezleri gibi veriler girdiyseniz, bu bilgileri değiştirin; çünkü araştırmalar, tarayıcı geçmişi özelliği aracılığıyla tam HTTP başlıklarını diske kaydettiğini bulmuştur.
Güvenlik yöneticileri için, stanfordstudies[.]com ve extensions-hub[.]com alanlarını DNS ve proxy üzerinden engellemek ve günlüklerini kontrol etmek önemlidir. Stripe OLT, Windows Defender ve Sentinel için kullanıma hazır KQL av sorgularını yayınlamıştır.
Sonuç olarak, bu tür kötüye kullanımları önlemek için uzantı incelemeleri, güncellemelerle eklenebilecek uyku durumundaki kodlar, yeni çağrı alanları ve yönetim değişikliğiyle eklenebilecek yetenekler açısından dikkatli olmalıdır.


