Google Eklenti Güvenlik Olayı: SwitchyOmega'da Potansiyel Risk Var, Eklentinin Değiştirilmesini Nasıl Önleyebilirim?

Son zamanlarda, bazı kullanıcılar ünlü proxy geçiş eklentisi SwitchyOmega'nın özel anahtarları çalma güvenlik açığına sahip olabileceğini fark etti. Bu sorun aslında geçen yıl güvenlik uyarılarıyla gündeme gelmişti, ancak bazı kullanıcılar dikkat etmemiş olabilir ve hâlâ etkilenen eklenti sürümünü kullanıyorlar, bu da özel anahtar sızdırılması ve hesapların ele geçirilmesi gibi ciddi risklerle karşı karşıya kalmalarına neden oluyor. Bu makalede, bu eklentinin nasıl değiştirildiği analiz edilecek ve eklenti değişikliklerini nasıl önleyeceğimiz ve kötü niyetli eklentilerle nasıl başa çıkacağımız tartışılacaktır.

Olayın Gözden Geçirilmesi

Bu olay, başlangıçta bir saldırı soruşturmasından kaynaklandı. 24 Aralık 2024'te, bir şirketin çalışanı bir phishing e-postası aldı ve bu, yayınladıkları tarayıcı eklentisinin kötü amaçlı kodla enjekte edilmesine neden oldu; bu da kullanıcıların tarayıcılarının çerezlerini ve şifrelerini çalmayı amaçlıyordu. Yapılan araştırmalar sonucunda, Google eklenti mağazasında benzer saldırılara uğramış 30'dan fazla eklentinin bulunduğu tespit edildi; bunlar arasında Proxy SwitchOmega (V3) da yer alıyor.

Saldırganlar, sahte bir OAuth yetkilendirme arayüzü aracılığıyla geliştirici hesaplarının kontrolünü ele geçirdiler ve ardından kötü niyetli kod içeren yeni bir uzantı sürümünü yüklediler. Chrome'un otomatik güncelleme mekanizmasını kullanarak, etkilenen kullanıcılar habersiz bir şekilde kötü amaçlı sürüme güncellendi.

Araştırma raporu, bu saldırıdan etkilenen eklentilerin Google mağazasında toplamda 500.000'den fazla indirildiğini, 2.6 milyondan fazla kullanıcı cihazındaki hassas verilerin çalındığını ve bu durumun kullanıcılar için büyük bir güvenlik riski oluşturduğunu belirtiyor. Bu değiştirilmiş uzantılar uygulama mağazasında en fazla 18 ay boyunca yer almışken, mağdur kullanıcıların verilerinin sızdığını fark etmeleri neredeyse imkansızdır.

Chrome mağazası giderek V2 sürüm eklentilerini desteklemediği için, SwitchyOmega'nın resmi orijinal versiyonu da V2 sürümü olduğundan destek dışındadır. Kirlilik içeren kötü niyetli versiyon V3 sürümüdür ve geliştirici hesabı orijinal V2 sürümünün hesabından farklıdır. Şu anda bu sürümün resmi olarak yayınlanıp yayınlanmadığını doğrulamak mümkün değil ve geliştirici hesabının bir hacker tarafından saldırıya uğrayarak kötü niyetli versiyonu yükleyip yüklemediğini veya V3 sürümünün yazarının kendisinin kötü niyetli bir davranış sergileyip sergilemediğini belirlemek mümkün değildir.

Güvenlik uzmanları, kullanıcıların kurulu eklentilerin kimliklerini kontrol etmelerini ve bunların resmi sürümler olup olmadığını doğrulamalarını öneriyor. Eğer kurulu eklentilerden etkilenenler bulunursa, hemen en güncel güvenlik sürümüne güncellenmeli veya doğrudan kaldırılmalıdır, böylece güvenlik riski azaltılmış olur.

Eklentilerin değiştirilmesini nasıl önleyebiliriz?

Tarayıcı uzantıları her zaman siber güvenliğin zayıf bir noktası olmuştur. Kullanıcıların, eklentilerin değiştirilmesini veya kötü niyetli eklentilerin indirilmesini önlemek için kurulum, kullanım ve yönetim açısından güvenlik önlemleri alması gerekmektedir.

1. Yalnızca resmi kanallardan eklenti indirin.

   • Öncelikle Chrome resmi mağazasını kullanın, internetteki üçüncü taraf indirme bağlantılarına güvenmeyin.
   • Doğrulanmamış "kırılmış" eklentileri kullanmaktan kaçının, birçok modifiye edilmiş eklentide arka kapı yerleştirilmiş olabilir.

2. Eklentilerin izin taleplerine dikkat edin

   • Gereksiz izinler talep edebileceğinden, izinleri dikkatli bir şekilde verin, bazı eklentiler.
   • Eklentinin hassas bilgileri okumasını istemesi durumunda dikkatli olun.

3. Yüklenmiş eklentileri düzenli olarak kontrol edin

   • Chrome adres çubuğuna chrome://extensions/ yazarak tüm yüklü eklentileri görüntüleyin
   • Eklentinin en son güncelleme tarihine dikkat edin, eğer eklenti uzun süre güncellenmemişse ve aniden yeni bir sürüm yayınlanıyorsa, değiştirilmiş olabileceğinden şüphelenmelisiniz.
   • Eklentinin geliştirici bilgilerini düzenli olarak kontrol edin, eklenti geliştiricisi değişirse veya izinlerde bir değişiklik olursa dikkatli olun.

4. Profesyonel araçlar kullanarak fon akışını izlemek, varlık kaybını önlemek

   • Özel anahtarın sızdırıldığından şüpheleniyorsanız, ilgili araçları kullanarak zincir üzerindeki işlemleri izleyebilir ve fon akışını zamanında öğrenebilirsiniz.

Proje tarafı için, bir eklenti geliştiricisi ve bakıcısı olarak, kötü niyetli müdahale, tedarik zinciri saldırıları, OAuth kötüye kullanımı gibi riskleri önlemek için daha sıkı güvenlik önlemleri alınmalıdır:

1. OAuth erişim kontrolü

   • Yetki kapsamını sınırlama, OAuth günlüklerini izleme
   • Kısa süreli token + yenileme token mekanizmasını kullanmaya özen gösterin, uzun süreli yüksek yetkili token saklamaktan kaçının.

2. Uygulama mağazası hesap güvenliğini artırma

   • İki faktörlü kimlik doğrulamayı etkinleştir
   • En az yetki yönetimini kullanma

3. Düzenli Denetim

   • Eklenti kodunu düzenli olarak güvenlik denetiminden geçirin

4. Eklenti İzleme

   • Eklentinin gerçek zamanlı olarak ele geçirilip geçirilmediğini izleyin
   • Sorunları zamanında tespit edin, kötü niyetli sürümleri kaldırın, güvenlik duyurusu yayınlayın ve kullanıcılara etkilenen sürümü kaldırmalarını bildirin.

Kötü amaçlı kod yerleştirilmiş eklentilerle nasıl başa çıkılır?

Eğer bir eklentinin kötü amaçlı kodlarla enfekte olduğunu keşfettiyseniz veya eklentinin risk taşıyabileceğinden şüpheleniyorsanız, kullanıcıların aşağıdaki önlemleri alması önerilir:

1. Eklentiyi hemen kaldır

   • Chrome uzantı yönetim sayfasına girin, etkilenen uzantıyı bulun ve kaldırın
   • Eklenti verilerini tamamen silin, kalıntı kötü amaçlı kodların çalışmaya devam etmesini önleyin

2. Sızdırılabilecek hassas bilgileri değiştirin

   • Tüm tarayıcıda kaydedilmiş şifreleri değiştirin, özellikle kripto para borsaları ve banka hesaplarıyla ilgili şifreleri
   • Yeni bir cüzdan oluşturun ve varlıkları güvenli bir şekilde transfer edin (eğer eklenti kripto cüzdana eriştiyse)
   • API Anahtarının sızdırılıp sızdırılmadığını kontrol edin ve hemen eski API Anahtarını iptal edip yeni bir anahtar talep edin.

3. Sistemi tarayın, arka kapı veya kötü amaçlı yazılım olup olmadığını kontrol edin.

   • Antivirüs yazılımı veya kötü amaçlı yazılımlara karşı araçlar çalıştırın
   • Hosts dosyasını kontrol edin, kötü niyetli sunucu adreslerine değiştirilmediğinden emin olun.
   • Tarayıcının varsayılan arama motorunu ve ana sayfasını kontrol edin, bazı kötü niyetli eklentiler bu ayarları değiştirebilir.

4. Hesabın anormal etkinlikler olup olmadığını gözlemleme

   • Borsa, banka hesabının giriş geçmişini kontrol edin, eğer anormal IP girişi tespit edilirse, hemen şifreyi değiştirmeli ve iki faktörlü kimlik doğrulamayı etkinleştirmelisiniz.
   • Kripto cüzdanın işlem geçmişini kontrol edin, anormal transfer olup olmadığını doğrulayın
   • Sosyal medya hesaplarınızın çalınıp çalınmadığını kontrol edin, eğer şüpheli mesajlar veya gönderiler varsa, hemen şifrenizi değiştirin.

5. Resmiye geri bildirimde bulunun, daha fazla kullanıcının zarar görmesini önleyin.

   • Eklentinin değiştirilmesi durumunda, orijinal geliştirme ekibiyle iletişime geçebilir veya Chrome resmi makamlarına bildirimde bulunabilirsiniz.
   • Güvenlik ekibiyle iletişime geçebilir, risk uyarısı yayınlayabilir ve daha fazla kullanıcıyı güvenliğe dikkat etmeleri için uyarabilirsiniz.

Tarayıcı eklentileri kullanıcı deneyimini artırsa da, aynı zamanda hacker saldırılarının bir açığı haline gelebilir ve veri sızıntısı ile varlık kaybı riski doğurabilir. Bu nedenle, kullanıcılar sağladığı kolaylığın yanı sıra dikkatli olmalı ve iyi güvenlik alışkanlıkları geliştirmelidir. Bunlar arasında eklentileri dikkatli bir şekilde yükleyip yönetmek, izinleri düzenli olarak kontrol etmek ve şüpheli eklentileri zamanında güncellemek veya kaldırmak yer alır. Bu arada, geliştiriciler ve platformlar da güvenlik önlemlerini güçlendirmeli, eklentilerin güvenliğini ve uyumluluğunu sağlamalıdır. Sadece kullanıcılar, geliştiriciler ve platformlar birlikte çalışarak güvenlik bilincini artırır ve etkili koruma önlemlerini hayata geçirirse, gerçekten riski azaltabilir ve veri ile varlıkların güvenliğini sağlayabilir.