کد خبر: ۴۷۰

کشف جاسوس‌افزار در افزونه ModHeader؛ گوگل و مایکروسافت آن را از فروشگاه‌های خود حذف کردند

مایکروسافت

افزونه ModHeader  با بیش از ۱.۶ میلیون نصب در مرورگرهای کروم و اج، پس از آنکه پژوهشگران امنیتی وجود یک SDK  جاسوس‌افزار و قابلیت ارسال اطلاعات کاربران به یک سرور خارجی را کشف کردند، از فروشگاه‌های رسمی گوگل و مایکروسافت حذف شد.

مهسا طاعتی
خبرنگار:
مهسا طاعتی

ModHeader  چگونه اطلاعات کاربران را جمع‌آوری می‌کرد؟

پژوهشگران امنیتی Stripe OLT  در گزارشی اعلام کردند نسخه ۷.۰.۱۸ این افزونه حاوی یک کیت توسعه نرم‌افزار (SDK) جاسوس‌افزار بوده است که به‌صورت مخفی در آن قرار داده شده بود. بر اساس این گزارش، این جاسوس‌افزار فهرست دامنه‌های وبی را که کاربران از آن‌ها بازدید می‌کردند، جمع‌آوری می‌کرد، سپس داده‌ها را با الگوریتم AES-GCM رمزگذاری کرده و روزی یک‌بار به یک سرور راه دور ارسال می‌کرد.

پژوهشگران تأکید کردند که این قابلیت به‌طور پیش‌فرض غیرفعال بوده، اما تمام اجزای لازم برای فعال‌سازی آن، از جمله کد اجرایی، کلید رمزنگاری و زمان‌بندی ارسال اطلاعات، از قبل در افزونه تعبیه شده بود؛ موضوعی که نگرانی‌های جدی درباره احتمال سوءاستفاده از این افزونه در آینده ایجاد کرده است.

آیا داده‌های کاربران به سرورهای چینی ارسال می‌شد؟

پژوهشگران اعلام کردند هیچ قابلیت فرماندهی و کنترل (C2) در این افزونه مشاهده نشده است؛ به این معنا که سرور موردنظر تنها داده‌های سرقت‌شده را دریافت می‌کرد و امکان ارسال فرمان یا برقراری ارتباط مجدد با افزونه را نداشت.

علاوه بر این، ModHeader مانند یک تبلیغ‌افزار نیز عمل می‌کرد؛ به‌گونه‌ای که هنگام به‌روزرسانی، تبلیغات نمایش می‌داد و تب‌های تبلیغاتی جدیدی را در مرورگر باز می‌کرد. این رفتار حتی در دستگاه‌هایی که توسط سازمان‌ها مدیریت می‌شدند نیز مشاهده شده است.

پژوهشگران با اطمینان پایین این فعالیت را به یک عامل تهدید چینی‌زبان نسبت داده‌اند. به گفته آن‌ها، دامنه‌ای که برای انتقال داده‌های سرقت‌شده استفاده می‌شد، از سرویس Lark برای مسیریابی ایمیل‌ها بهره می‌برد؛ پلتفرمی که در میان تیم‌های چینی‌زبان کاربرد گسترده‌ای دارد.

همچنین، بررسی کد افزونه وجود رشته‌های متنی به زبان چینی را نشان داده و مشخص شده است که این افزونه به‌طور پیش‌فرض از زبان چینی ساده‌شده نیز پشتیبانی می‌کند. با این حال، پژوهشگران تأکید کرده‌اند که این شواهد به‌تنهایی برای انتساب قطعی حمله کافی نیست و نسبت دادن آن به یک گروه یا کشور خاص با قطعیت امکان‌پذیر نیست.

چرا گوگل و مایکروسافت افزونه ModHeader را حذف کردند؟

ModHeader یک افزونه برای مرورگرهای گوگل کروم و مایکروسافت اج است که به کاربران امکان می‌دهد هدرهای HTTP درخواست‌ها و پاسخ‌های ردوبدل‌شده میان مرورگر و وب‌سایت‌ها را تغییر دهند. این ابزار به‌طور گسترده توسط توسعه‌دهندگان، پژوهشگران امنیتی و متخصصان تست نرم‌افزار برای آزمایش رابط‌های برنامه‌نویسی، عیب‌یابی برنامه‌های تحت وب و شبیه‌سازی محیط‌های مختلف مورد استفاده قرار می‌گیرد.

این افزونه حدود ۹۰۰ هزار کاربر در مرورگر کروم و ۷۰۰ هزار کاربر در مرورگر اج دارد که مجموع کاربران آن را به بیش از ۱.۶ میلیون نفر می‌رساند.

بر اساس گزارش The Hacker News، مایکروسافت این افزونه را ۳ ژوئن ۲۰۲۶ از فروشگاه افزونه‌های خود حذف کرد و گوگل نیز ۱۰ ژوئیه همان سال همین اقدام را انجام داد و ModHeader را از فروشگاه کروم خارج کرد.

حذف افزونه از فروشگاه به‌معنای حذف آن از دستگاه کاربران نیست

پژوهشگران Stripe OLT در پایان گزارش خود اعلام کردند: «پس از افشای یافته‌های ما، گوگل افزونه ModHeader را از فروشگاه کروم حذف کرد. از این اقدام استقبال می‌کنیم، اما حذف افزونه از فروشگاه به‌معنای رفع خودکار خطر در دستگاه‌هایی نیست که این افزونه از قبل روی آن‌ها نصب شده است. بنابراین، تیم‌های امنیتی و مدیران فناوری اطلاعات باید همچنان نصب‌های موجود را شناسایی کرده و این افزونه را از سیستم‌ها حذف کنند.»

به بیان دیگر، حذف یک افزونه از فروشگاه رسمی مرورگر، آن را به‌طور خودکار از رایانه کاربران پاک نمی‌کند. کاربرانی که پیش‌تر ModHeader را نصب کرده‌اند، باید به‌صورت دستی آن را حذف کنند یا مدیران سازمان‌ها از طریق ابزارهای مدیریت متمرکز، وجود این افزونه را در سیستم‌های سازمانی بررسی و حذف کنند تا خطر نشت اطلاعات کاهش یابد.

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث