دسته‌بندی نشده

افشای ناامن اطلاعات از طریق HTTP در افزونه‌های محبوب کروم و اقدامات سیمانتک برای مقابله با آن

  • ارسال توسط author-avatar
کروم
۰۸ مرداد

 

سیمانتک و کروم

در دنیای امروز که امنیت اطلاعات به یکی از مهم‌ترین دغدغه‌های کاربران اینترنتی تبدیل شده، مرورگرها و افزونه‌های نصب‌شده روی آن‌ها نقش کلیدی در حفظ یا نقض این امنیت ایفا می‌کنند. افزونه‌های مرورگر، به‌ویژه در گوگل کروم، امکانات متنوعی برای کاربران فراهم می‌کنند اما در صورت نادیده‌ گرفتن اصول رمزنگاری و استفاده از پروتکل‌های ناامن، می‌توانند درگاه‌هایی برای افشای اطلاعات حساس باشند. به مرور آسیب‌پذیری‌های افزونه‌های شناخته‌شده کروم پرداخته و راهکارهای شرکت امنیتی سیمانتک برای مقابله با این تهدیدات مرورگرمحور را مرور می‌کنیم.

 

افزونه‌های پرکاربرد، اما ناامن

بسیاری از کاربران به اشتباه تصور می‌کنند که افزونه‌های محبوب و دارای رتبه بالا در فروشگاه گوگل کروم، به‌صورت پیش‌فرض از استانداردهای امنیتی سطح بالا بهره می‌برند. اما تحقیقات اخیر نشان می‌دهد که حتی برخی از افزونه‌هایی که در زمینه حفظ حریم خصوصی، تحلیل رتبه‌بندی سایت‌ها یا طراحی صفحات تب جدید فعالیت دارند، اطلاعات کاربران را از طریق پروتکل HTTP و بدون رمزنگاری ارسال می‌کنند. این ارسال اطلاعات به‌صورت متن ساده (Plaintext) باعث می‌شود که مهاجمان حاضر در همان شبکه بتوانند داده‌ها را شنود کرده و حتی تغییر دهند.

 

SEMRush Rank و PI Rank: افشای دامنه‌های بازدید شده

دو افزونه SEMRush Rank و PI Rank که مجموعاً بیش از ۳۰ هزار کاربر دارند، یکی از بارزترین مثال‌های استفاده ناامن از HTTP هستند. این افزونه‌ها با هدف نمایش رتبه دامنه‌های بازدیدشده توسط کاربر طراحی شده‌اند اما داده مربوط به دامنه فعلی کاربر را از طریق یک درخواست ساده HTTP به سرورهایی نظیر rank.trellian.com ارسال می‌کنند. چنین رفتاری باعث می‌شود در صورت حضور کاربر در یک شبکه عمومی مانند وای‌فای کافی‌شاپ یا محیط‌های اشتراکی، مهاجم بتواند لیستی از سایت‌های بازدیدشده توسط کاربر را جمع‌آوری کند. این موضوع، به‌ویژه برای کاربرانی که به تحلیل رقبا یا بازدید از وب‌سایت‌های حساس می‌پردازند، بسیار نگران‌کننده است.

 

Browsec VPN: تضاد بین ادعا و عملکرد

افزونه Browsec VPN که ادعای رمزگذاری کامل ترافیک و حفظ حریم خصوصی کاربران را دارد، بیش از ۶ میلیون کاربر در سراسر جهان جذب کرده است. با این حال، تحلیل کدهای پس‌زمینه این افزونه نشان می‌دهد که در زمان حذف نصب توسط کاربر، اطلاعاتی نظیر آمار استفاده، تغییر کشور، تعداد کلیک روی آیکون و شناسه یکتای کاربر (UserID) از طریق لینک ساده HTTP به سرورهای عمومی ارسال می‌شود. افزون بر این، در فایل manifest این افزونه اجازه اتصال به دامنه‌های متعددی که از HTTP پشتیبانی می‌کنند مشاهده می‌شود. این مسئله به این معناست که هر یک از این درخواست‌ها می‌تواند توسط مهاجمان میانی شنود یا حتی دستکاری شود؛ آن هم در افزونه‌ای که ماهیت آن حفاظت از داده‌هاست.

 

افزونه‌های MSN: ارسال شناسه یکتای دستگاه

افزونه‌های MSN New Tab و MSN Homepage & Bing Search که روی هم بیش از نیم میلیون نصب فعال دارند، عملکردی مشابه و آسیب‌پذیری مشترک دارند. این افزونه‌ها با استفاده از تابعی به نام SendPingDetails، اطلاعاتی از قبیل سیستم‌عامل، نسخه افزونه و مهم‌تر از همه، شناسه یکتای دستگاه کاربر (MachineID) را از طریق پروتکل HTTP ارسال می‌کنند. این شناسه که توسط تابعی موسوم به GUID تولید می‌شود، به‌صورت ثابت در تمام نشست‌ها و مکان‌های مختلف باقی می‌ماند. چنین شناسه‌ای می‌تواند توسط مهاجمان برای ردیابی فعالیت‌های کاربر در بازه‌های زمانی مختلف، شناسایی موقعیت فیزیکی و ساخت پروفایل رفتاری به‌کار رود.

 

DualSafe Password Manager: ضعف در ارسال آمار

افزونه DualSafe Password Manager با حدود ۳۰۰ هزار کاربر، نمونه‌ای دیگر از نقص امنیتی در انتقال اطلاعات است. در یکی از توابع این افزونه، آدرس HTTP برای ارسال آمار استفاده و اطلاعات مرتبط با نسخه افزونه، زبان مرورگر و نوع استفاده ساخته می‌شود. اگرچه در این مورد داده‌های حساسی نظیر رمز عبور فاش نمی‌شود، اما وجود چنین ضعف رمزنگاری در یک افزونه مدیریت رمز عبور، اعتماد کاربران به امنیت کلی آن را زیر سوال می‌برد. خوشبختانه تیم توسعه‌دهنده این افزونه پس از دریافت گزارش، در نسخه‌های جدیدتر به استفاده از HTTPS روی آورد و تمام ارتباطات را رمزگذاری کرد.

کروم

اهمیت استفاده از HTTPS و مخاطرات ترافیک رمزنگاری‌نشده

استفاده از HTTP به‌جای HTTPS برای ارسال داده، بزرگ‌ترین ضعف این افزونه‌ها محسوب می‌شود. در ترافیک رمزنگاری‌نشده، هر فردی که به شبکه دسترسی دارد (از جمله ادمین شبکه، کاربران دیگر روی وای‌فای عمومی یا حتی سرویس‌دهندگان اینترنت)، می‌تواند محتوای تبادل‌شده را به‌سادگی مشاهده کرده یا در مسیر آن دخالت کند. این اتفاق تحت عنوان حمله مرد میانی یا MITM شناخته می‌شود و در فضای تهدیدات سایبری امروزی، بسیار رایج است. اطلاعات به ظاهر ساده‌ای مانند دامنه‌های بازدیدشده، شناسه دستگاه یا نسخه سیستم‌عامل، وقتی در اختیار مهاجمان قرار گیرد، می‌تواند مقدمه‌ای برای حملات هدفمند، مهندسی اجتماعی یا جعل هویت باشد.

 

اقدامات سیمانتک برای مقابله با تهدیدات افزونه‌ها

شرکت امنیتی سیمانتک، با بهره‌گیری از فناوری‌های نوین تشخیص تهدید، به شناسایی چنین رفتارهای ناامن در افزونه‌ها پرداخته و آن‌ها را به توسعه‌دهندگان گزارش کرده است. علاوه بر آن، سیمانتک در بولتن‌های امنیتی خود هشدارهای لازم را به کاربران و مدیران شبکه‌ها ارائه داده و توصیه‌هایی برای حفاظت از اطلاعات در برابر تهدیدات مرورگرمحور منتشر کرده است. از جمله راهکارهای پیشنهادی این شرکت می‌توان به استفاده از محصولات حفاظتی نظیر Symantec Endpoint Protection، نصب افزونه‌ها فقط از منابع معتبر، بررسی دقیق دسترسی‌هایی که افزونه‌ها درخواست می‌کنند، و تهیه پشتیبان منظم از اطلاعات مهم اشاره کرد.

 

اهمیت تحلیل رفتاری افزونه‌ها

سیمانتک معتقد است که صرف مشاهده نام برند، تعداد نصب یا امتیاز بالا در فروشگاه گوگل کروم نمی‌تواند دلیلی بر امنیت افزونه باشد. تحلیل رفتار افزونه‌ها، بررسی نحوه ارسال و دریافت اطلاعات، مطالعه دسترسی‌های ثبت‌شده در فایل manifest و بررسی کدهای جاوااسکریپت آن‌ها، از جمله روش‌هایی است که باید پیش از نصب هر افزونه‌ای مد نظر قرار گیرد. سیمانتک با استفاده از سامانه‌های تحلیل ابری و هوش مصنوعی، افزونه‌ها را از نظر الگوهای ارتباطی و رفتارهای مشکوک بررسی می‌کند و در صورت شناسایی تهدید، کاربران را از آن مطلع می‌سازد.

 

چگونه افزونه‌ای امن انتخاب کنیم؟

برای انتخاب افزونه‌ای امن، تنها تکیه بر نظرات کاربران و تعداد نصب کافی نیست. توصیه می‌شود قبل از نصب، به دقت مجوزهای درخواستی توسط افزونه را بررسی کرده و در صورت وجود موارد مشکوک نظیر دسترسی به تمامی صفحات مرورگر، ضبط کلیدها یا دسترسی به داده‌های سایت‌ها، از نصب آن خودداری شود. همچنین بررسی اینکه افزونه مورد نظر از HTTPS برای ارسال داده‌ها استفاده می‌کند یا خیر، از نکات کلیدی در انتخاب آگاهانه است. سیمانتک ابزارهایی را در اختیار کاربران قرار داده است تا بتوانند چنین تحلیل‌هایی را به‌راحتی انجام دهند.

 

امنیت واقعی با هوشیاری کاربران و تحلیل‌گران

آنچه در این مقاله بررسی شد، نشان می‌دهد که حتی افزونه‌هایی که وعده حفظ حریم خصوصی را می‌دهند، در صورت عدم رعایت اصول رمزنگاری، می‌توانند اطلاعات کاربران را به‌سادگی افشا کنند. با اینکه نشت مستقیم رمز عبور در این افزونه‌ها گزارش نشده، اما مجموعه‌ای از اطلاعات مانند دامنه‌های بازدیدشده، شناسه‌های یکتا، نسخه‌های سیستم‌عامل و داده‌های آماری به‌راحتی در دسترس مهاجمان قرار گرفته‌اند. سیمانتک با شناسایی این تهدیدات، گامی موثر در راستای امنیت افزونه‌ها برداشته اما حفاظت نهایی از اطلاعات کاربران در گروی تصمیمات آگاهانه و به‌روزرسانی پیوسته ابزارهاست.

 

اگر کاربر مرورگر کروم هستید و از افزونه‌های نام‌برده استفاده می‌کنید، توصیه می‌شود تا زمان اطمینان از رفع آسیب‌پذیری‌ها، آن‌ها را غیرفعال کرده یا حذف نمایید. امنیت اطلاعات، موضوعی است که با ساده‌ترین بی‌احتیاطی، می‌تواند در معرض تهدیدهای بزرگ قرار گیرد. سیمانتک با ارائه راهکارهای فنی، آموزش‌های امنیتی و نرم‌افزارهای حفاظتی، کاربران را در مسیر کاهش ریسک‌های ناشی از افزونه‌های ناامن همراهی می‌کند.

بازگشت به لیست
قدیمی تر بازگشت EchoSpoofing؛ تهدیدی پیشرفته علیه امنیت ایمیل در Microsoft 365

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هشت + بیست =