افزونههای رایگان VPN اطلاعات کپیشده کاربران را سرقت میکردند
محققان امنیتی درباره یک تهدید جدید در افزونههای VPN رایگان هشدار دادهاند. براساس بررسیهای شرکت امنیتی Socket، افزونه VPN Go مخرب با سواستفاده از یک بهروزرسانی ظاهرا عادی، قابلیت پایش و سرقت کلیپبورد کاربران کروم و فایرفاکس را فعال کرده است.
به گزارش تکرادار، محققان امنیتی شرکت Socket از شناسایی دو افزونه مخرب VPN خبر دادهاند که بهصورت پنهانی محتوای کلیپبورد (Clipboard) کاربران را جمعآوری و به سرورهای تحت کنترل مهاجمان ارسال میکردند. این افزونهها با نام VPN GO: Free VPN در فروشگاه افزونههای Google Chrome و Mozilla Firefox منتشر شده بودند و خود را بهعنوان ابزارهای رایگان تغییر IP معرفی میکردند.
بررسیهای انجامشده نشان میدهد این افزونهها علاوه بر ارائه قابلیت پروکسی، به ابزاری برای سرقت اطلاعات کلیپبورد مجهز شده بودند که متنهای کپیشده کاربران را بهطور مداوم پایش و برای زیرساخت مهاجمان ارسال میکرد.
قابلیت مخرب پس از جلب اعتماد کاربران اضافه شد
بررسی محققان Socket نشان میدهد نسخههای اولیه این افزونهها فاقد هرگونه قابلیت مخرب بودند و رفتار مشکوکی از خود نشان نمیدادند. با این حال، توسعهدهندگان پس از جلب اعتماد کاربران، از طریق یک بهروزرسانی ظاهراً عادی قابلیت سرقت کلیپبورد را به افزونهها اضافه کردند؛ روشی که شناسایی تهدید را برای کاربران و حتی سامانههای امنیتی دشوارتر میکند.
در نسخه کروم، این تغییر از نسخه 1.1 آغاز شد. در این نسخه، اسکریپتی به افزونه افزوده شد که به کلیپبورد دسترسی پیدا میکرد، محتوای جدید را استخراج و آن را به یک سرور از پیش تعیینشده ارسال میکرد. نسخه فایرفاکس نیز اندکی بعد همین قابلیت را از طریق Background Script به افزونه اضافه کرد و روند جمعآوری اطلاعات را آغاز کرد.
اطلاعات کاربران هر چند ثانیه یکبار ارسال میشد
تحلیلهای شرکت Socket نشان میدهد افزونه کروم تقریباً هر نیم ثانیه یکبار کلیپبورد کاربران را بررسی میکرد، در حالی که نسخه فایرفاکس این کار را هر ۱.۵ ثانیه انجام میداد.
هر داده جدیدی که در کلیپبورد کپی میشد، با یک شناسه نشست (Session ID) برچسبگذاری و سپس از طریق ارتباط HTTP و بدون رمزنگاری به سرور مهاجمان ارسال میشد. این در حالی است که در سیاست حفظ حریم خصوصی هر دو افزونه ادعا شده بود هیچگونه اطلاعاتی از کاربران جمعآوری، ذخیره یا با اشخاص ثالث به اشتراک گذاشته نمیشود.
پس از انتشار گزارش Socket، هر دو افزونه بدون ارائه توضیحی از فروشگاههای Chrome و Firefox حذف شدند.
چرا سرقت کلیپبورد تهدیدی جدی محسوب میشود؟
کلیپبورد یکی از بخشهای حساس سیستمعامل است که کاربران روزانه اطلاعات مهمی مانند رمزهای عبور، شماره حساب، آدرس کیف پول ارز دیجیتال، کدهای احراز هویت، اطلاعات بانکی و سایر دادههای محرمانه را از طریق آن کپی و جایگذاری میکنند.
بسیاری از مدیران رمز عبور نیز برای ورود سریع به حسابهای کاربری از قابلیت کپی و جایگذاری رمزهای عبور استفاده میکنند. بنابراین، اگر یک افزونه بتواند بدون اطلاع کاربر کلیپبورد را پایش کند، عملاً به حجم زیادی از اطلاعات حساس دسترسی خواهد داشت.
کارشناسان امنیت سایبری هشدار میدهند افرادی که از این دو افزونه استفاده کردهاند، باید فرض کنند هر اطلاعاتی که در مدت نصب افزونه در کلیپبورد خود کپی کردهاند، احتمالاً در معرض افشا قرار گرفته است.
افزونههای رایگان VPN بارها منشأ تهدیدهای امنیتی بودهاند
این نخستین بار نیست که افزونههای رایگان VPN به فعالیتهای مخرب متهم میشوند. محققان امنیتی در گزارشهای پیشین نیز نمونههایی را شناسایی کردهاند که بدون اطلاع کاربران از صفحات وب بازدیدشده اسکرینشات تهیه میکردند یا پس از حذف از فروشگاهها، با نسخهای جدید و روشهایی پیچیدهتر دوباره منتشر شده بودند.
تکرار چنین اتفاقاتی باعث شده کارشناسان توصیه کنند کاربران نسبت به نصب هر افزونه رایگان VPN ناشناس با احتیاط بیشتری عمل کنند و پیش از نصب، اعتبار توسعهدهنده، سابقه محصول و نتایج بررسیهای امنیتی مستقل را ارزیابی کنند.
کاربران چگونه از خود محافظت کنند؟
بر اساس نتایج نظرسنجی TechRadar، حدود یکچهارم کاربران با وجود آگاهی از خطرات، همچنان از VPNهای رایگان استفاده میکنند. با این حال، کارشناسان توصیه میکنند تنها از سرویسهایی استفاده شود که سابقه قابل اعتماد، شفافیت در سیاستهای حفظ حریم خصوصی و ارزیابیهای مستقل امنیتی را پشت سر گذاشتهاند.
همچنین اگر پیشتر یکی از این افزونهها را نصب کردهاید، بهتر است آن را حذف کنید، رمزهای عبور مهم خود را تغییر دهید و در صورت کپی شدن اطلاعات حساس در بازه استفاده از افزونه، اقدامات امنیتی لازم مانند تغییر گذرواژهها و بررسی فعالیت حسابهای کاربری را در اولویت قرار دهید.