Kejadian Keamanan Plugin Google: SwitchyOmega Memiliki Risiko Potensial, Bagaimana Mencegah Plugin Diubah?

Baru-baru ini, beberapa pengguna menemukan bahwa plugin pengalihan terkenal SwitchyOmega mungkin memiliki risiko keamanan yang dapat mencuri kunci pribadi. Masalah ini sebenarnya sudah ada peringatan keamanan sejak tahun lalu, tetapi sebagian pengguna mungkin tidak memperhatikan dan masih menggunakan versi plugin yang terpengaruh, menghadapi risiko serius seperti kebocoran kunci pribadi dan peretasan akun. Artikel ini akan menganalisis situasi pemalsuan plugin ini dan membahas bagaimana cara mencegah pemalsuan plugin serta menghadapi plugin berbahaya.

Tinjauan Acara

Kejadian kali ini awalnya berasal dari penyelidikan serangan. Pada 24 Desember 2024, seorang karyawan dari sebuah perusahaan menerima email phishing, yang menyebabkan plugin browser yang dirilisnya disuntik dengan kode jahat, berusaha mencuri Cookie dan kata sandi pengguna browser. Setelah penyelidikan, ditemukan bahwa lebih dari 30 plugin di toko plugin Google telah mengalami serangan serupa, termasuk Proxy SwitchOmega (V3).

Penyerang memperoleh kendali atas akun pengembang melalui antarmuka otorisasi OAuth yang dipalsukan, kemudian mengunggah versi baru ekstensi yang berisi kode berbahaya. Memanfaatkan mekanisme pembaruan otomatis Chrome, pengguna yang terdampak tanpa sepengetahuan mereka diperbarui ke versi berbahaya.

Laporan investigasi menunjukkan bahwa plugin yang terpengaruh oleh serangan ini memiliki total unduhan lebih dari 500.000 di Google Store, dan lebih dari 2,6 juta data sensitif di perangkat pengguna telah dicuri, yang menimbulkan risiko keamanan yang besar bagi pengguna. Ekstensi yang telah dimanipulasi ini tersedia di toko aplikasi selama maksimal 18 bulan, dan korban hampir tidak dapat menyadari bahwa data mereka telah bocor.

Karena Chrome Web Store secara bertahap tidak mendukung plugin versi V2, dan versi asli SwitchyOmega resmi adalah versi V2, maka juga termasuk dalam rentang yang tidak didukung. Versi jahat yang terkontaminasi adalah versi V3, yang akun pengembangnya berbeda dari akun versi V2 yang asli. Saat ini tidak dapat dipastikan apakah versi ini diterbitkan oleh resmi, dan juga tidak dapat menentukan apakah akun pengembang telah diretas dan mengunggah versi jahat, atau penulis versi V3 itu sendiri memang memiliki niat jahat.

Ahli keamanan menyarankan pengguna untuk memeriksa ID plugin yang terpasang, memastikan apakah itu versi resmi. Jika menemukan plugin yang terpasang terpengaruh, harus segera diperbarui ke versi aman terbaru, atau langsung dihapus untuk mengurangi risiko keamanan.

Bagaimana mencegah plugin diubah?

Ekstensi browser selalu menjadi titik lemah dalam keamanan jaringan. Untuk menghindari pemalsuan atau unduhan ekstensi berbahaya, pengguna perlu melakukan perlindungan keamanan dari tiga aspek: instalasi, penggunaan, dan pengelolaan.

1. Hanya unduh plugin dari saluran resmi

   • Utamakan menggunakan toko resmi Chrome, jangan percaya pada tautan unduhan pihak ketiga di internet.
   • Hindari menggunakan plugin "crack" yang tidak terverifikasi, banyak plugin modifikasi mungkin telah disisipkan pintu belakang

2. Waspadai permintaan izin plugin

   • Berikan izin dengan hati-hati, beberapa plugin mungkin akan meminta izin yang tidak perlu
   • Jika menemukan plugin yang meminta akses ke informasi sensitif, harap tetap waspada.

3. Periksa secara berkala plugin yang telah diinstal

   • Masukkan chrome://extensions/ di bilah alamat Chrome untuk melihat semua ekstensi yang terpasang.
   • Perhatikan waktu pembaruan terbaru dari plugin. Jika plugin tidak diperbarui dalam waktu lama tetapi tiba-tiba merilis versi baru, perlu waspada kemungkinan telah dimanipulasi.
   • Periksa secara berkala informasi pengembang plugin, jika plugin mengganti pengembang atau ada perubahan izin, harus meningkatkan kewaspadaan

4. Gunakan alat profesional untuk memantau aliran dana, untuk mencegah kerugian aset

   • Jika mencurigai kebocoran kunci pribadi, Anda dapat menggunakan alat terkait untuk memantau transaksi di blockchain, dan segera memahami aliran dana.

Bagi pihak proyek, sebagai pengembang dan pemelihara plugin, harus mengambil langkah-langkah keamanan yang lebih ketat untuk mencegah risiko seperti modifikasi jahat, serangan rantai pasokan, penyalahgunaan OAuth, dan sebagainya:

1. Kontrol Akses OAuth

   • Batasi ruang lingkup otorisasi, pantau log OAuth
   • Usahakan menggunakan mekanisme token jangka pendek + token penyegaran, untuk menghindari penyimpanan token dengan hak akses tinggi secara jangka panjang.

2. Meningkatkan keamanan akun toko aplikasi

   • Aktifkan otentikasi dua faktor
   • Menggunakan manajemen hak akses minimum

3. Audit Berkala

   • Melakukan audit keamanan secara berkala terhadap kode plugin

4. Pemantauan Plugin

   • Memantau secara real-time apakah plugin telah diretas
   • Temukan masalah dan segera tarik versi berbahaya, terbitkan pengumuman keamanan, beri tahu pengguna untuk mencopot versi yang terinfeksi.

Bagaimana cara menangani plugin yang telah disisipkan kode berbahaya?

Jika menemukan bahwa plugin telah terinfeksi kode jahat, atau mencurigai bahwa plugin mungkin memiliki risiko, disarankan agar pengguna mengambil langkah-langkah berikut:

1. Segera hapus plugin

   • Masuk ke halaman pengelolaan ekstensi Chrome, temukan plugin yang terpengaruh untuk dihapus
   • Menghapus data plugin secara menyeluruh untuk mencegah kode jahat yang tersisa terus berjalan

2. Mengubah informasi sensitif yang mungkin bocor

   • Ganti semua kata sandi yang disimpan di browser, terutama yang terkait dengan bursa cryptocurrency dan akun bank.
   • Buat dompet baru dan pindahkan aset dengan aman (jika plugin mengakses dompet kripto)
   • Periksa apakah API Key telah bocor, dan segera cabut API Key yang lama, ajukan kunci baru.

3. Memindai sistem, periksa apakah ada pintu belakang atau malware

   • Jalankan perangkat lunak antivirus atau alat anti-malware
   • Periksa file Hosts, pastikan tidak diubah menjadi alamat server berbahaya
   • Periksa mesin pencari dan beranda default browser, beberapa plugin jahat dapat mengubah pengaturan ini

4. Memantau apakah ada aktivitas abnormal pada akun

   • Periksa riwayat login bursa dan rekening bank, jika menemukan login dari IP yang mencurigakan, segera ganti kata sandi dan aktifkan otentikasi dua faktor.
   • Periksa catatan transaksi dompet kripto, konfirmasi apakah ada transfer yang tidak biasa.
   • Periksa apakah akun media sosial telah disalahgunakan, jika ada pesan atau postingan yang mencurigakan, segera ubah kata sandi

5. Berikan umpan balik kepada pihak resmi, untuk mencegah lebih banyak pengguna menjadi korban.

   • Jika menemukan plugin telah dimodifikasi, Anda dapat menghubungi tim pengembang asli atau melaporkannya ke pihak resmi Chrome.
   • Dapat menghubungi tim keamanan, mengeluarkan peringatan risiko, mengingatkan lebih banyak pengguna untuk memperhatikan keamanan

Meskipun plugin browser dapat meningkatkan pengalaman pengguna, mereka juga dapat menjadi celah bagi serangan hacker, membawa risiko kebocoran data dan kerugian aset. Oleh karena itu, pengguna harus tetap waspada sambil menikmati kenyamanan, serta mengembangkan kebiasaan keamanan yang baik, seperti dengan hati-hati menginstal dan mengelola plugin, secara berkala memeriksa izin, serta memperbarui atau menghapus plugin yang mencurigakan dengan cepat. Sementara itu, pengembang dan platform juga harus memperkuat langkah-langkah perlindungan keamanan untuk memastikan keamanan dan kepatuhan plugin. Hanya dengan usaha bersama antara pengguna, pengembang, dan platform, meningkatkan kesadaran keamanan dan menerapkan langkah-langkah perlindungan yang efektif, risiko dapat benar-benar dikurangi, dan keamanan data serta aset dapat terjamin.