Giriş
Son günlerde, iki Google Chrome uzantısının kötü niyetli hale gelmesi, kullanıcı veri güvenliğini tehdit eden yeni bir durumu gözler önüne serdi. Bu olay, kullanıcıların kötü niyetli yazılımlar ile karşılaşma riskini artırdığı için son derece önemlidir.
Saldırı Nasıl Çalışıyor?
Etkilenen Uzantılar:
- QuickLens – Google Lens ile Ekran Araması (ID: kdenlnncndfnhkognokgfpabgkgehodd) – 7,000 kullanıcı
- ShotBird – Kaydırmalı Ekran Görüntüleri, Tweet Görselleri & Editör (ID: gengfhhkjekmlejbhmmopegofnoifnjp) – 800 kullanıcı
QuickLens artık Chrome Web Mağazası’ndan indirilememekte, ancak ShotBird yazım anında erişilebilir durumdadır. ShotBird, Kasım 2024’te piyasaya sürüldü ve geliştiricisi Akshay Anu S, uzantının “profesyonel, stüdyo benzeri görseller oluşturmak için uygun” olduğunu belirtti.
Monxresearch-sec tarafından yayımlanan araştırmaya göre, uzantı Ocak 2025’te “Öne Çıkan” olarak işaretlendi. Geliştirici, uzantıyı geçtiğimiz ay başka bir geliştiriciye (“[email protected]”) devretti. QuickLens ise devralma işlemi sonrası, 17 Şubat 2026’da kötü niyetli bir güncelleme aldı ve bu güncelleme, her HTTP yanıtından güvenlik başlıklarını kaldırma yeteneği ekledi.
Etkilenen Sistemler
Kötü niyetli güncelleme, QuickLens’ün orijinal işlevini korurken, kötü niyetli betiklerin başka alanlara keyfi isteklerde bulunmasına olanak tanıyan bir bypass yöntemi sunmakta. Uzantı, kullanıcının ülkesi, tarayıcı bilgisi ve işletim sistemi gibi bilgileri toplamak için bir dış sunucuya her beş dakikada bir bağlantı kurmakta.
ShotBird uzantısı ise kullanıcıları sahte bir Chrome güncelleme istemi ile kandırarak, komut dosyalarını indiriyor. Bu süreçte, Şunları Yakalayıp Hedef Alıyor:
- Kullanıcının giriş bilgileri
- PIN kodları
- Kredi kartı detayları
- Devlet kimlik bilgileri
Kötü amaçlı yazılım, HTML elemanlarını ele geçiriyor ve kullanıcı tarafından girilen her veriyi yakalayabiliyor.
Çözüm ve Korunma
Alınacak Önlemler:
- Uzantıları hemen kaldırın.
- Belirsiz veya doğrulanmamış uzantıları yüklemekten kaçının.
- Tarayıcılarınızı gözden geçirerek bilinmeyen uzantıları tespit edip kaldırın.
Microsoft, güvenilir görünen AI asistanı araçları olarak maskelenmiş kötü niyetli yapıların, LLM sohbet geçmişlerini ve tarayıcı verilerini topladığı konusunda uyardı.
Aksiyon
Okuyucuların, yukarıda belirtilen uzantılardan herhangi birine sahip olmaları durumunda: Derhal bu uzantıları tarayıcılarından kaldırmaları ve kurumsal çevrelerde tarayıcı uzantılarını daha dikkatli seçmeleri gerektiğini öneriyorum. Terrörist aktiviteler sonucu veri güvenliğinizin tehdidi altına girmemesi için tarayıcı güncellemelerinizi düzenli olarak gerçekleştirin.
