وقد انسحبت جوجل ومايكروسوفت ModHeader، وهو امتداد شائع لتحرير العناوين مع ما يقرب من 1.6 مليون عملية تثبيت عبر Chrome وEdge، بعد أن عثر الباحثون على أداة تجميع مخفية لسجل التصفح مدمجة في إصدار المتجر الرسمي.
وكان المجمع نائما. وقد أبقت القائمة المسموح بها الفارغة مغلقًا، ولم يظهر أي دليل على أنها جمعت أو أرسلت نطاق تصفح واحدًا على الإطلاق.
جاء التحليل من شركة Stripe OLT، وهي شركة أمنية بريطانية، والتي قامت بفحص الكود مقابل توقيع متجر الويب الخاص بشركة Google وتأكدت من شحن المجمع داخل الامتداد الأصلي، وليس مزيفًا.
تغطي مراجعتها إصدار Chrome ومستخدميه البالغ عددهم 900000 مستخدم تقريبًا؛ تضع أجهزة التتبع التابعة لجهات خارجية 700000 أخرى أو نحو ذلك على Edge. قامت Microsoft بسحب قائمة Edge في 3 يوليو، وأزالت Google قائمة Chrome بعد أسبوع، في 10 يوليو.
لا يزال الإصدار 7.0.18 (معرف الامتداد idgpnmonknjnojddfkpgkljpfnnfcklj) يقوم بتحرير رؤوس HTTP كما هو معلن عنها. يحتوي نفس رمز الخلفية المصغر أيضًا على نظام ثانٍ. عند التشغيل لأول مرة، يقوم بإنشاء بصمة الجهاز وتحميل مفتاح التشفير المشفر. أثناء التصفح، فإنه يأخذ النطاق من كل صفحة تفتحها، ويشفره، ويخزنه محليًا، بما يصل إلى 1000 نطاق مميز.
مرة واحدة في اليوم، يقوم المجدول بتجميع القائمة المشفرة ببصمة إصبعك، ونشرها على api.stanfordstudies[.]com، ويمسح النسخة المحلية. يتم تعويض وقت التحميل لكل عملية تثبيت، لذا فإن المتصفحات التي تقوم بتشغيله لن يتم إرسالها كلها في وقت واحد إذا تم تشغيل أداة التجميع. تصف عمليات التفكيك المنفصلة، التي أجراها HackIndex في الإصدار 7.0.18 والباحث يونس أيدين في الإصدار 7.0.17، نفس المسار.
يعمل المجمع فقط إذا كان متصفحك يطابق إدخالاً في قائمة السماح الداخلية، ويتم شحن هذه القائمة فارغة. يفشل التحقق في كل مرة، لذا يتوقف التدفق قبل أن يجمع مجالًا واحدًا. يعد نشر هذه القائمة بمثابة تغيير بسيط، بدون أذونات جديدة أو نقرة منك، ويتم تقديمه كتحديث روتيني. المفتاح الثابت وعنوان URL لنقطة النهاية والمجدول ومنطق التخزين موجودون بالفعل على الجهاز.
لم يكن كل شيء نائما. عند التثبيت والتحديث وإلغاء التثبيت، قام الامتداد باختبار اتصال المجال الثاني، وهو Extensions-Hub[.]com، مع المنتج والإصدار والمتصفح. وكان البرنامج النصي الذي يتم تشغيله على كل صفحة قد سجل بالفعل بيانات تعريف الطلب الحقيقي إلى التخزين المحلي بنص عادي، لذلك كان من الواضح أن هذه القطعة قيد التشغيل.
قامت أدوات الداما الآلية بتصنيف ModHeader على أنه منخفض المخاطر، حيث يصل بعضها إلى 95 من أصل 100. كل جزء من التصميم يمكن أن يحبط نوعًا مختلفًا من الفحص. يتم تشفير البيانات، لذلك يرى الماسح الضوئي النص المشفر. تم إيقاف التحميل، لذلك لا يرى وضع الحماية أي شيء متروك.
يتم تصغير التعليمات البرمجية الضارة إلى قاعدة تعليمات برمجية شرعية. لم يكن لنقاط النهاية أي سمعة خبيثة راسخة يجب الإبلاغ عنها. والامتداد المشهور الموقع يُقرأ على أنه موثوق به. يثبت توقيع المتجر مصدر الملف، وليس ما يفعله.
حيث تؤدي المجالات
ربط Stripe OLT النطاقات ببنية تحتية حقيقية تتم صيانتها. stanfordstudies[.]com ليس له صلة بجامعة ستانفورد؛ إنه نطاق قديم مُعاد استخدامه ويواجه الواجهة الخلفية لـ OpenSearch، في حين أن الامتدادات Hub[.]تم إعداد com للإعلان.
تم حل نقطتي نهاية واجهة برمجة التطبيقات (API) على نفس خادم Amazon في وقت التحليل، وهو ما يناسب مشغلًا واحدًا دون إثبات ذلك. تشير مجموعة من الإشارات الضعيفة بشكل فضفاض إلى مشغل ناطق باللغة الصينية: لغة صينية مبسطة، وعلامة “ملح” مكتوبة بالحرف 盐، وموفر بريد صيني الأصل. لم يذكر الباحثون أي مجموعة، ولا نحن أيضًا.
العلامات التحذيرية جاءت في وقت سابق. أثار موقع ModHeader شكاوى بسبب إدخال إعلانات في نتائج البحث في عام 2023، ويُقال إنه أصبح مدعومًا بالإعلانات في ذلك الوقت. من الذي استولى عليها غير مؤكد، ولم يقدم الباحثون أي ادعاء بشأن المؤلف الأصلي.
لا يزال موقع ModHeader الخاص ينشر خطة إعلانية تنص على أنه لا يجمع أي بيانات للمستخدم، وهو أمر يصعب مواءمته مع أداة تجميع سجل التصفح المضمنة، حتى لو كانت معطلة. لم يستجب المطور علنًا للنتائج حتى وقت النشر.
اتصلت Hacker News بـ ModHeader للتعليق وطرح المزيد من الأسئلة على Stripe OLT، وسوف تقوم بتحديث هذه القصة بأي رد.
في عام 2021، وصف بريان كريبس كيف يتم شراء الإضافات الشائعة وتحويلها بهدوء إلى أنابيب بيانات. وهذا يشبه هذا النمط، والآن مع التشفير وبوابة تمنع الماسحات الضوئية من رؤية التحميل. وفي هذا العام وحده، تم اكتشاف سلسلة من ملحقات Chrome وهي تجمع البيانات تحت تصنيف “تحليلات مجهولة”، ومجموعة منفصلة تنتحل شخصية Workday وNetSuite لسرقة ملفات تعريف الارتباط للجلسة. يحتاج محررو العناوين ومديرو ملفات تعريف الارتباط إلى وصول واسع للعمل، وعندما تنكسر الثقة، يكون نطاق الانفجار واسعًا.
ما يجب القيام به
إذا كان لديك ModHeader، فقم بإزالته من Chrome وEdge؛ ربما قام متصفحك بتعطيله بالفعل. يؤدي إلغاء التثبيت إلى مسح بياناته المخزنة، وبالتالي فإن الشيء الذي يجب التحقق منه مرة أخرى هو أن مزامنة الملف الشخصي أو سياسة الإضافات المُدارة لن تعيده مرة أخرى.
إذا قمت بلصق أسرار فيها، ومفاتيح API، والرموز المميزة لحاملها، وملفات تعريف الارتباط للجلسة، فقم بتدويرها، حيث وجد الباحثون أن ميزة محفوظات الرأس الخاصة بها تخزن رؤوس HTTP الكاملة على القرص.
بالنسبة للمدافعين، قم بحظر وتسجيل دراسات ستانفورد[.]com وextensions-hub[.]com على DNS والوكيل، وسجلات البحث عن معرف الامتداد وأي مشاركة إلى api.stanfordstudies[.]com/app/log. نشر Stripe OLT استعلامات البحث عن KQL الجاهزة للتشغيل لـ Defender وSentinel.
تتعامل عمليات الإزالة مع هذا الامتداد الواحد. التصميم هو الجزء الذي يجب أن يقلق الناس: يوجد جامع كامل تم التحقق منه في المتجر داخل أداة موثوقة وشائعة، وهي أداة تم تصميمها على ما يبدو لتشغيلها بمجرد ملء التحديث العادي بالقائمة الفارغة. وقد صنفتها الماسحات الضوئية الآلية بأنها منخفضة المخاطر، وقد تبدو الأداة التالية المبنية بهذه الطريقة نظيفة تمامًا.
الدرس العملي ضيق النطاق: يجب أن تراقب مراجعة الامتدادات مسارات التعليمات البرمجية الخاملة التي لا يؤدي الاختبار إلى تشغيلها أبدًا، ونقاط نهاية الاتصال الرئيسية الجديدة، والقدرة التي يمكن للتحديث الروتيني إضافتها بعد تغيير الأيدي.
